近年、医療機関で電子カルテ化が進み、医療記録および保険などの情報が医療システムで取り扱われるようになりました。米国では、経済的及び臨床的健全性のための医療情報技術に関する法律(HITECH法)によって電子カルテ化が加速しており、日本の医療機関でも政府の取組みとして電子カルテシステムの普及が進んでいます。こうした電子カルテシステムで取り扱われる身体的な情報や過去の病歴など、変更することができない医療記録は、サイバー犯罪者の間で価値が高い情報として取引されており、医療システムはサイバー犯罪者の標的の一つとなっています。
こういった状況を踏まえ、トレンドマイクロでは医療関係の機器およびネットワークなどのIPアドレスがインターネット上に露出している現状を確認し、医療機関を襲うサイバー攻撃のリスクについてリサーチしました。今回はそのリサーチ結果をもとに、医療機関が抱えるセキュリティリスクおよび今後日本の医療機関が直面する課題について解説します。
■インターネットに露出する医療関係のIPアドレスは10万件以上
トレンドマイクロでは、2017年2月に検索エンジン「Shodan」によって、全世界で10万件以上の医療関係のIPアドレスがインターネットに露出していることを確認しました。国別で見るとカナダ、米国が大半を占める中、割合は少ないものの日本が第三位となっています(図1参照)。
図 1:インターネットに露出した医療関係のIPアドレス※(国別Top10)
※医療関係のIPアドレスには、電子カルテシステムや病院設備を制御するシステム、病院内のオフィス機器、ネットワーク機器、医療デバイスなどが含まれています。
また、米国の医療機関を対象にした検索結果からは、約3万6,000件のIPアドレスがインターネット上に露出していることが分かっており、そのうちSSL通信が使用されず盗聴可能な医療設備や医療機器・ネットワークなどのIPアドレスは2万件以上と全体の半数以上に及んでいます。電子カルテに金融情報や社会保障番号の情報が含まれるなど、高いセキュリティレベルが求められる米国医療療機関においても、インターネットから施設内の様々な設備や機器等にアクセス可能な状態となっている深刻な実状が明らかになりました。
さらに、「Shodan」による検索では、「腫瘍」や「皮膚科」といった医療関連のキーワードなどで専門領域を絞り込んだ機器の検索も可能で、機器によっては検索結果から実行中のサービスやプログラム、ソフトウェアのバージョン情報、他にもOSやシステムファイルの構造、位置情報、ホスト名などの情報を知ることができます。サイバー犯罪者は、こうした検索から単に医療設備や医療機器などを探しあてるだけなく、そこからサイバー攻撃に悪用可能な機器の詳細情報を入手することができるのです。
■医療機関が抱えるセキュリティリスク
こういった医療設備や医療機器・ネットワークなどがインターネットに露出していることで考えられるセキュリティリスクとして、医療機関の機器などへの不正アクセスや脆弱性を狙った攻撃が考えられます。前述同様の「Shodan」を用いた調査からは、米国およびその他の国々における、インターネット上に露出した医療機関の機器のOSの割合も明らかになっています。米国と比べ他の国々では、Windows7やWindows 8のシステムが少ない一方、半数以上でメインストリームのサポートが終了したWindows Server 2008R2が使用されていることが分かりました。本OSは延長サポ―トが2020年まで残っているものの、およそ2年6ヶ月後には修正プログラムの提供が終了し、脆弱性が放置される状況となります。多くの医療機関で今後システムのリプレースや脆弱性からシステムを守るための対策を検討する必要が出てくることが想定されます。また、その数は少ないもののすでにサポートが終了して脆弱性が放置されているWindowsXPやWindows Server2003といったレガシーシステムが残っており、サイバー犯罪者から深刻な攻撃を受ける危険性が確認されました(図2、図3)。
図 2:インターネットに露出した米国の医療機関で使用されているOSのTop10
図 3:インターネットに露出した世界の医療機関(米国を除く)で使用されているOSのTop10
2017年5月に世界中でランサムウェア「WannaCry」の被害が発生し、英国の医療機関でも複数拠点で急患対応や手術不能になる影響が出たと報じられています。このWannaCryはWindowsのServer MessageBlock(SMB)における古いバージョンの脆弱性を狙った攻撃によって感染を拡大するワーム活動を行っており、感染した組織内に拡大するだけでなく、インターネット上にも攻撃を仕掛けていました。医療機関において脆弱性のある機器がインターネット上に露出し、万が一WannaCryのような攻撃を受けた場合、電子カルテシステムの情報が暗号化されてしまうリスクがあります。また、「サイバー犯罪者が特定のメーカの電子カルテシステムで発覚した脆弱性を悪用して攻撃する」、「無防備となっている医療機関のプリンタに侵入し、電子カルテシステムに攻撃を仕掛ける」、「脆弱なIDとパスワードを使用している医療設備に不正にアクセスする」など、様々なセキュリティ侵害を受ける可能性も考えられます。
■今後日本の医療機関が直面する課題
全世界の医療機関でIPアドレスが露出している機器やネットワーク等が存在し、重大なセキュリティリスクにつながるおそれがあることに加え、医療機関のセキュリティ課題もまた深刻です。2016年5月に発表された米民間調査機関「PonemonInstitute」による「Sixth Annual Benchmark Study on Privacy and Security Health CareData(第6次 医療情報のプライバシーとセキュリティに関する年次ベンチマーク調査)」によれば、電子カルテ化が進んでいる米国においても、多くの医療機関で「情報セキュリティ予算の減少」、「熟練したセキュリティ担当者の不足」、「不十分な情報漏えい対策」といった課題があることが指摘されています。
しかし、これらは米国だけの問題ではありません。日本の医療機関でもマイナンバーを活用して医療システムと行政機関の情報連携が段階的に進むことが予定されており、医療システムがサイバー攻撃の標的となる可能性が高まると考えられます。今後、国内の医療機関でさらに電子カルテ化が進み、インターネット上のシステムと連携するようになったとき、日本の医療機関でも現在の米国同様に様々な課題に直面するでしょう。医療機関においては、近い将来想定されるセキュリティリスクを確認した上で、セキュリティ対策強化を検討していくことをお勧めします。
トレンドマイクロでは、インターネットに露出した医療設備や医療機器の現状、米国の医療機関が抱えるセキュリティ課題、電子カルテ情報を利用したサイバー犯罪など、医療業界を取り巻く脅威とセキュリティ課題についてまとめたレポートを公開しました。詳細については以下のダウンロードページを参照してください。
- 医療業界が直面するサイバー犯罪とその他の脅威 :http://www.go-tm.jp/healthcare-report