病院が標的型攻撃されやすい理由
病院が標的型攻撃されやすい2つの理由をそれぞれ解説します。
セキュリティ対策が甘いため
病院の情報漏えいに対する危機管理の意識は一般的な企業と比べると低いと言われています。医療機器は安全面に関する法的規制が厳しいため、セキュリティ対策は二の次になる傾向があるのです。しかし、医療機器のIoT化が進む中、システムへのマルウェア侵入を許してしまうと人命の危機に関わる事態に発展しかねません。
近年は患者情報の漏えい事故が多発していますが、そのほとんどが人的ミスが原因です。患者情報の入ったUSBメモリーを持ち出して紛失したり、白衣のポケットにUSBを入れたままクリーニングに出したりといった事例が挙げられます。
また、病院で使用されているレントゲンなどの医療機器は脆弱性を抱える古いOSであることが多く、それが標的型攻撃の脅威に晒される一因でもあります。
重要な情報を保有しているため
医療分野の電子化が進み、医療記録や患者氏名、住所、電話番号、患者の契約する保険会社といったさまざまな電子情報を病院は保有しています。クレジットカードの情報が搾取された場合は、情報の変更や破棄が容易です。しかし、医療記録は容易に変更できないので、摂取されてしまうと事態は深刻です。
これらの情報は希少性が高く人々の関心を引くため、実際に医療情報を売買するマーケットで高値で取引されています。販売者は情報を得るために費やした時間や労力を差し引いても充分すぎる額の利益を手にしています。売買の場となっているサイトの広告が大々的に出されていることからも、危険性をお分かりいただけるでしょう。
標的型攻撃による病院の被害事例
標的型攻撃で病院が被害に遭った事例を2件紹介します。
まず、がん研究施設の医療データベースの情報搾取を目的としたフィッシング攻撃です。研究施設の職員がフィッシングメールの標的でした。
次に、ランサム攻撃によって病院が営業停止に追い込まれた事例です。この攻撃はシステムをウイルスに感染させ、データの保持と引き換えに金銭の要求を行います。システム障害を起こしたり、患者情報を暗号化したりして営業を妨害するのです。ウイルス対策ソフトが最新の状態でなかったことが原因だと言われています。
標的型攻撃に対する病院側の対策
病院を狙った標的型攻撃にはどのように対応すれば良いのでしょうか。効果的な2つの対策を紹介します。
標的型攻撃メール訓練の実施
標的型攻撃の多くはメールで攻撃を仕掛けてきます。実在の企業や取引先の担当者になりすまし、マルウェアを仕込んだURLや添付ファイルを言葉巧みにクリックさせようとします。業務に関連する情報や用語がメールの文中に使われているので、社員は標的型攻撃メールだと気付きにくいです。
そこで、日頃から訓練を実施して標的型攻撃に「気付ける力」と「対応力」を養ってください。標的型攻撃に似せた疑似メールは気付きやすいものとそうでないメールの使い分けをおすすめします。前者はサイバー攻撃への感度を高め、後者では初動対応の向上に役立ちます。
これらの訓練を定期的に実施することでサイバー攻撃を防ぐだけでなく、社員のリスクレベルの把握が可能です。
多層防御の構築
サイバー攻撃は手口が巧妙化しており、攻撃を防ぐには人による対策以外も不可欠です。ウイルス侵入に備えて「入口」「内部」「出口」をそれぞれ強化しましょう。
入口対策ではファイヤーウォールやスパムフィルターなどを設け、ウイルスの侵入を防ぎます。しかし、入口対策を万全にしてもウイルスの侵入を許してしまうときもあるでしょう。
そこで、内部対策を実施して、侵入したウイルスから機密情報を守ります。ネットワークの監視やファイルの暗号化といった方法が有効です。
そして、出口対策を行い、ウイルスによるデータの外部流出やWebサイトの改ざんを防ぎましょう。情報の持ち出しに制限を設けたり、通信先のIPアドレスのフィルタリングを行ったりする方法が考えられます。
有効な対策をして標的型攻撃から病院の情報資産を守ろう
病院が標的型攻撃に狙われるのは、セキュリティ対策が甘く、価値の高い情報を保有しているからです。標的型攻撃で病院をターゲットにした事例も多く、攻撃に対する早急な対応が求められます。そこで、有効な対策は以下のとおりです。
- ■標的型攻撃メール訓練の実施
- ■多層防御の構築
以上のポイントを念頭に置き、標的型攻撃に備えてセキュリティの強化に努めましょう。
