コラム
  • 医科
  • #電子カルテ
  • #経営

「クリニックも『サイバーテロ』に備える時代」(前編)

2023.03.27

近年、医療機関でも「サイバーテロ」による被害が報告されています。医療機関にとって、いつ何時やってくるかもしれないサイバーテロについて、実際の事例をもとに、現状と対策について解説します。

【目次】

  1. ランサムウェアとは何か?
  2. 様々な感染経路
  3. 感染するとどうなる?
  4. 医療界のサイバー攻撃
  5. サイバーセキュリティ対策に関する通知

ランサムウェアとは何か?

最近よく耳にする「ランサムウェア」を知っていますか。ランサムウェアとは、システムに向けたサイバー攻撃の手口の1つで、「Ransom(身代金)」と「Software」を組み合わせた造語です。何らかの形でシステムがウイルス等に感染し、データファイルが暗号化され、利用ができない状態にした上で、そのファイルを元に戻すことと引き換えに身代金を要求する「マルウェア」を指します。

ちなみに、マルウェアとは、「Malicious(悪意のある)」と「Software」を組み合わせた造語で、コンピュータウイルスなど、ユーザーのパソコンなどのシステム障害をもたらす悪意のあるプログラムやソフトウェアを総称した言葉となります。

マルウェアの種類は、ウイルス、ワーム、トロイの木馬、スパイウェアなどがあり、それぞれの特徴は以下の通りです。

ウイルス:プログラムの一部を書き換え、自己増殖していく。ウイルス単体では存在することができず、プログラムの一部を書き換えることで入り込み、分身を作り増殖していく。

ワーム:ワームは、自己増殖していく形はウイルスと同じですが、ウイルスのように他のプログラムを必要とせず、単独で存在することが可能なものです。

トロイの木馬:画像や文書などのファイル、スマホのアプリなどに偽装して、デバイスの内部へ侵入します。侵入後は外部からの指令によって、そのデバイスを操る仕組みです。

スパイウェア:気付かないうちにPCなどのデバイスにインストールされていて、ユーザーの個人情報やアクセス履歴などを収集するものです。

様々な感染経路

 これらマルウェアはどのようにして、医療機関のシステムに侵入するのでしょうか。マルウェアの感染経路は、①メール(SNSも含む)の添付ファイルを開く②ネットワークから侵入③不正サイトや悪意のあるサイトへの誘導④不正なソフトウェアやアプリのインストール⑤ソフトウェアの脆弱性を突いて―の5つに分類されます。

最近の医療機関のサイバーテロの被害でも、電子カルテはインターネットに繋がっていないにもかかわらず、サポート回線から侵入するというケースもありました。電子カルテに繋がっている外部の業者のシステムから侵入されたこともありました。

昨今、ますますサイバーテロの手口は多様化しており、外部とのつながりがあれば、どこからでもやってくると考えた方が良いでしょう。また、近年のシステムは、全く外部と繋がらないケースは少なく、全く侵入経路が存在しないというのは考えにくいのが現状です。

感染するとどうなる?

電子カルテなどのシステムがマルウェアに感染すると、様々な感染被害が発生します。例えば、システムにロックがかかり動かなくなったり、個人情報を抜き取られ情報が流出したり―という被害が発生します。

先に紹介した「ランサムウェア」による攻撃では、電子カルテシステムなどのデータファイルが暗号化され、勝手にロックがかけられ操作が不能となり、その解除と引き換えに身代金が要求されました。

その他にも、ファイルが改ざん(書き換え)されるケースや、デバイスが乗っ取られ、サイバー攻撃の「踏み台」として使われたりするケースがあります。

医療界のサイバー攻撃

わが国の医療界でも、多くのサイバー攻撃の被害が報告されています。例えば、2021年10月末に起きた徳島県の150床の病院の電子カルテに対するランサムウェアによる感染被害が有名です。その病院は、ランサムウェアに感染後、電子カルテのデータファイルが暗号化され利用できなくなりました。

侵入経路は、電子カルテを始めとした医療機器のメンテンナンスを行う際に接続する「VPNルータ」と報告されています。この電子カルテは院内サーバタイプであったたため、このような被害には合いにくいと思われていましたが、VPNから侵入するという予想外の攻撃でした。VPNルータのソフトウェアに脆弱性があったにもかかわらず、それを放置していたことが原因とされています。

10月末の感染発覚から、システムが復旧したのは翌年1月で、完全復旧には約2カ月間を要しました。その間、患者の来院制限が行われ、医療機関の経営に大きな打撃をもたらしたと報告されています。

サイバーセキュリティ対策に関する通知

このような状況を受けて、政府は2022年3月に「サイバーセキュリティ対策の強化について(注意喚起)」という通知を経産省、厚労省などが連名で出しています。通知では、「昨今の情勢を踏まえるとサイバー攻撃事案のリスクは高まっていると考えられます。政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、対策を講じること」を求めています。

(次回に続く)

筆者:株式会社EMシステムズ EM-AVALON事務局
特記ない場合には当サイト内コラム・画像などは投稿者及び当社が作成したものとなります。

一覧へ戻る
カテゴリ
年月