海の向こうの“セキュリティ”

EUの医療分野ではランサムウェアやデータ侵害が主要なサイバー脅威に、ENISAが報告書を公開

  • 山賀 正人

2023年8月3日 11:55

ENISA、医療分野におけるサイバー脅威の状況について初となる報告書を公開

 医療機関へのサイバー攻撃が深刻な被害を生んでいる中、欧州ネットワーク情報セキュリティ機関(ENISA:The European Union Agency for Cybersecurity)は、EUにおける医療分野のサイバー脅威の状況に関する初となる調査分析報告書を公開しました。これは、2021年1月から2023年3月までのサイバーインシデントに基づき、医療分野の実態に関する新たな知見をもたらすことを目的としたもので、主要な脅威や行為者(アクター)、影響、傾向を特定しています。

 なお、分析対象はEU加盟国と近隣諸国(ノルウェー、スイス、英国)で観測され、公にされたインシデントであり、調査対象期間中に発生した全てのインシデントではないことに注意が必要です。また、実際に分析されたインシデントは215件でしかなく、分析結果の割合などの数字自体に統計的な意味はありません。あくまで実際に調査対象となったインシデントの状況を示したものに過ぎないことにも注意する必要があります。

 対象組織には以下が含まれます。

  • 医療提供者(healthcare providers)、例えば、病院、プライマリ・ケア提供者、社会衛生ケア提供者、歯科医療提供者、救急サービス、精神衛生機関など
  • EU標準研究所、医薬品の研究開発活動を行う団体、より一般的には、健康に関する研究を行う団体
  • 基礎医薬品および製剤の製造事業者、製薬産業全般
  • 医療機器製造業者、バイオテクノロジー製造業者
  • 国内およびEU域内の保健当局、団体、機関
  • 医療保険機関
  • 居住型療養施設、ソーシャルサービス提供者

 調査結果から判明した主要なポイントとして挙げられているのは以下の7点。

1. 広範囲にわたるインシデント。欧州の医療分野では、医療提供者(healthcare provider)のインシデントが全体の53%を占め、相当数のインシデントが発生した。特に病院がその矛先を向けられ、報告されたインシデントの42%となっている。さらに、保健当局、団体、機関(14%)、製薬業界(9%)が標的となった。

2. ランサムウェアとデータ侵害。ランサムウェアは、医療分野における主要な脅威の1つとして浮上した(インシデントの54%)。この傾向は今後も続くと見られている。医療部門における調査対象組織のうち、ランサムウェア専用の防御プログラムを導入しているのはわずか27%に過ぎない。金銭的な利益を追求するサイバー犯罪者は、医療機関と患者の双方を恐喝し、個人情報や機密性の高いデータを開示すると脅迫する。電子カルテを含む患者データが最も狙われた資産であった(30%)。憂慮すべきことに、インシデントの半数近く(46%)は、医療機関のデータの窃取または漏えいを目的としていた。



    3.COVID-19パンデミックの影響と教訓。報告期間がCOVID-19パンデミックの時期のかなりの部分と重なり、その間に医療部門がサイバー犯罪者の主要な標的となったことに注意することが不可欠である。患者データの価値を原動力とし、金銭的動機を持った脅威行為者が、攻撃の過半数(53%)の原因となった。パンデミックでは、EU各国のCOVID-19関連システムや検査機関からデータが流出する事件が複数発生した。これらの情報漏えいの主な原因として、設定ミスを含む、内部関係者や不十分なセキュリティ慣行が特定された。これらのインシデントは、特に緊急の業務が必要な場合において、強固なサイバーセキュリティの実践の重要性をはっきりと思い出させるものである。

    4.医療システムの脆弱性。ヘルスケアのサプライチェーンやサービスプロバイダーに対する攻撃は、医療機関に混乱や損失をもたらした(7%)。医療システムや医療機器の脆弱性がもたらすリスクを考えると、このようなタイプの攻撃は今後も大きな影響を与え続けると予想される。ENISAによる最近の調査では、ソフトウェアまたはハードウェアの脆弱性に関連するセキュリティインシデントの報告件数は医療機関が最も多く、セキュリティインシデントの61%以上の原因が脆弱性であるとする回答者が80%であることが明らかになった。

    5.地政学的動向とDDoS攻撃。地政学的動向とハクティビストの活動により、2023年初頭には親ロシア派のハクティビストグループによる病院や医療当局に対する分散型サービス拒否(DDoS)攻撃が急増し、インシデント全体の9%を占めた。この傾向は今後も続くと予想されるが、こうした攻撃による実際の影響は比較的低いままである。

    6.本報告書で調査されたインシデントは、主にデータの漏えいや盗難(43%)、医療サービスの中断(22%)、医療とは関係のないサービスの中断(26% ※以下の図では25%)をもたらし、医療機関に重大な影響を与えた。また、本報告書は発生した金銭的損失にも焦点を当てており、ENISA NIS Investment 2022の調査によると、医療分野における重大なセキュリティインシデントのコストの中央値は30万ユーロと見積もられている。


    7.サイバーインシデントによってトリアージや治療に遅れが生じる可能性があることから、患者の安全が医療コミュニティにとって最も重要な懸念事項として浮上している。

 報告書では最後に結論を「医療分野への課題」「医療専門家に対する重要な推奨事項」「データ収集と過小報告における課題」の3つにまとめています。ここでは「医療専門家に対する重要な推奨事項」を紹介します。その中で医療機関が従うべきサイバーハイジーン(サイバー衛生)の慣行として以下の7点を挙げています。

  • 機密情報(保存データ)を含むミッションクリティカルなデータをオフラインで暗号化してバックアップすると、データ漏えいのリスクを軽減できる。
  • 医療専門家向けの意識向上プログラムおよびトレーニングプログラムは、ソーシャルエンジニアリング攻撃を緩和し、ユーザー間のセキュリティ慣行を改善する役割を果たすことができる。
  • 攻撃対象領域を制限するために、脆弱性(特にインターネットに接続されたデバイスの脆弱性)を特定して対処するために定期的な脆弱性スキャンを実行すべきである。
  • ソフトウェアおよびオペレーティングシステムの定期的なパッチ適用とアップデートを行なって利用可能な最新バージョンにすべきである。
  • リモートアクセスの認証方法についてはグッドプラクティスに従うべきである。
  • 患者のケアに影響が及ぶことが決してないように、基本的なサイバーインシデント対応計画を作成、維持、実行する。これらには、各部門やサービスにおける緊急時対応計画、コミュニケーションチャネルの改善だけでなく、医療専門家とその精神的および身体的健康に対するケアも含まれることがある。
  • 上級経営陣のコミットメントが鍵であり、NIS2指令が経営トップの責任を取り入れている現在では特に重要である。

 調査対象の数が統計的には十分でないため、分析結果の数字そのものにさほど意味はありませんが、それでも2021年から2023年までの2年3カ月の間の欧州における状況を大まかに把握するには十分な内容と言えるでしょう。また、日本の医療機関にそのままでは当てはまらない部分もあるかもしれませんが、参考になるところは必ずあるはずです。医療機関のセキュリティに関わる方には一読をお勧めします。

URL
ENISA(2023年7月5日)
Checking-up on Health: Ransomware Accounts for 54% of Cybersecurity Threats
https://www.enisa.europa.eu/news/checking-up-on-health-ransomware-accounts-for-54-of-cybersecurity-threats
ENISA(2023年7月5日)
Health Threat Landscape
https://www.enisa.europa.eu/publications/health-threat-landscape
まるちゃんの情報セキュリティ気まぐれ日記 (2023年7月10日)
ENISA 健康分野のサイバーセキュリティ状況 (2023.07.05)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/07/post-762e94.html
山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。