News monthly
サイバー攻撃の傾向と対策
ポイントはパスワード認証とVPN
脅迫に屈して金を払っても元に戻る保証はない
サイバー攻撃は確実に増える
その対策と準備を急げ
ランサムウェアの被害が増加
電子カルテシステムがランサムウェアに感染して、診療を一時停止する。昨年、そんな事件が立て続けに報道された。
ランサムウェアとは、単にコンピューターにウイルスが感染するだけではなく、データを使えなくし、その解決のために「身代金(Ransom)」を要求するウイルスである。突然データが使えなくなるので、その被害にあった病院では、診療に支障をきたし、一時機能を停止するまでに至ったという。
また、身代金を支払えばデータが復旧するかというと、その保証もない。なかには、お金を支払ったにもかかわらず、データが元に戻らなかった、というケースも多いようだ。こうしたことから、身代金を支払わず、電子カルテを再構築した病院もある。
警視庁の報告によると、病院に限らずランサムウェアの被害は増加しており、2021年下期の被害数は85件と、1年前の同時期(21件)から4倍近く増えている。有名な大企業ばかりが狙われているわけではなく、被害の半数以上は中小企業である(図表1)。
復旧に要する費用も1000万円以上が全体の4割を占め、費用的にも大きな痛手となりそうだ。21年は医療福祉分野で7件の被害が報告されている(図表2)。
ランサムウェア対策のあり方
さて、医療経営士としては対策を考えなければならない。そもそも、どんな状況で感染に至ったのであろうか。
一昔前だと、▽使用不可のはずのUSBメモリを職員が使ってそこから感染した、▽仕事中に見るべきではないWebサイトを閲覧し感染した、▽メールに添付されたファイルをダウンロードしてしまい感染した――といった手口が多かった。
しかし、今はこうした方法ではなく、感染経路の54%を占めるのが「VPN機器からの侵入」で、次いで「リモートデスクトップからの侵入」が20%である(図表3)。対策を行うのなら、この問題を何とかする必要がある。職員のUSB利用やWeb閲覧などの注意喚起だけでは十分な対策とは言えないのだ。
感染経路の過半数を占めたVPN機器からの侵入とはどのようなものなのか。
外部との通信をするのに最も安心なのが物理的に専用回線を引くことである。しかし、それには膨大な費用がかかるため、一般的に使われている共用の回線を仮想的独立させたネットワークに接続することをVPN接続という。多くの病院でもVPN接続で、外部から院内サーバーにつながる仕組みが構築されているだろう。
「いや、うちの病院は外部から一切接続させてないので問題ない」と思う方もいるかもしれないが、必ず“特別に”接続を許可しているはずだ。
最も多いのが、電子カルテベンダーがリモートでさまざまな対応をタイムリーにするためであったり、医療機器のメンテナンス用であったり、地域の共有カルテを使用するために接続するケースだと考えられる。これらの接続の多くはVPN接続であることが想定される。
被害を受けた病院では、米Fortinet製のVPNルーターを使用して院内システムに接続できる環境を構築していたようだ。しかし、その機器のアップデートを行っていなかったこと、パスワード認証のみで接続ができたことが原因と推定されているという。
Fortinet製の製品はそもそもセキュリティ対策をウリにした機器で、病院としてもそれを導入しているから安心していたのだろう。しかし、その機器にもソフトウェアが搭載されていて、そのソフトウェア上の脆弱性が指摘されており、アップデートが必要であった。セキュリティ対策機器を導入していたがために、逆にセキュリティの脆弱性をもたらすという皮肉な結果といえよう。
パスワード認証についても、多くの病院がその方法で接続しているはずだ。本来なら、ワンタイムパスワードのように接続のたびに変わるパスワードがいいのだろうが、対応できているところは少ない。感染経路で2番目に多いリモートデスクトップを使用している病院もあるだろう。このケースも同じようにパスワードが破られ、院内システムに侵入されてしまう手口のようである。
パソコンだけではなくサーバーやルーター、その他の外部との通信をする医療機器なども含めて、タイムリーにソフトウェアをアップデートすること。パスワード認証を、生体認証やワンタイムパスワードに切り替えていくこと。それが難しくても、定期的なパスワードの見直しをする。
これらが、本来あるべき対策と言えるが、この環境を整えるためにはそれなりの投資が必要になるのと、運用を見直さないとならないので、すぐに対応できるところばかりではない。
セキュリティ対策は医療安全対策のように無限のリソース(お金と手間)をかければ、強固になっていくことは間違いないが、現実的にはそうはいかない。また、いくらかけても“絶対に安心”な環境にはならないので、もしもランサムウェア感染が起こったとしたらどう対応するのかも合わせて考えていきたい。(『月刊医療経営士』2022年4月号)
各図出典:警視庁「今和3年におけるサイバー空間をめぐる脅威の情勢等について(速報版)(令和4年2月1日)
(特定医療法人谷田会 谷田病院 事務部長)