医療機関が見落としがちなセキュリティリスクとは?

医療機関では、患者の個人情報や医療記録といった沢山の機微な情報を取り扱っていますが、こうした情報はサイバー犯罪者にとって格好の標的となる可能性があります。例えば、患者の個人情報をそのままアンダーグラウンド市場で売買したり、また情報を悪用すれば、さらなる詐欺行為を行うことが可能になるなど、サイバー犯罪者はさまざま方法で利益を得ることができるためです。また、機微な情報だけがサイバー犯罪者の狙いではありません。医療機関のネットワークに攻撃を仕掛け、医療機器やシステムの動作を不安定にし、患者の命を危険にさらすことで、身代金を要求するといった手口も想定されるでしょう。

2018年も国内の医療機関において、様々なセキュリティインシデントが発生しており、医療機関では自組織のネットワークのセキュリティリスクを把握した上で、セキュリティ対策の強化を検討していくことが求められています。

■Webサイト改ざんで訪問者が不正サイトに誘導

2018年5月、医科大学病院のWebサイトが不正アクセスを受け、サーバに不正プログラムを埋め込まれる被害に遭っていたことが公表されました。ユーザがWebサイトを訪問すると、不正なサイトに誘導され、クレジットカード情報や個人情報が詐取されるリスクがあったと報じられており、Webサイトを運営していた外部ベンダ側で実施していたセキュリティが十分でなかったとされています。医療機関が外部ベンダに構築、運営を任せているWebサイトにおいては、セキュリティの欠陥(脆弱性)が放置されたままになっているリスクが考えられます。サイバー犯罪者は直接医療機関のネットワークに侵入することなく、そうした外部ベンダ管理の部分に存在する脆弱性を狙い、個人情報を窃取したり、さらにはそこを起点として医療機関のネットワークへの侵入を試みようとするかもしれません。今回のケースだけでなく、医療機関では様々な外部ベンダを利用していることが考えられます。外部ベンダを利用する上では、想定されるセキュリティリスクを理解し、外部ベンダと連携しながら、医療機関のネットワーク、システムのセキュリティ強化の体制を整備していくことが重要となります。

■院内のロッカーで患者情報が入ったUSBメモリを紛失

2018年10月、県立総合病院で医師が患者の個人情報が入ったUSBメモリを紛失した事例が公表されました。個人情報の中には、患者の氏名だけでなく、患部の画像などのデータも入っていたことが分かっており、紛失した医師に対しては懲戒処分が検討されていると報じられています。この事例では、USBメモリにセキュリティのパスワードが設定されていなかったなど、改善すべき点はあるものの、公表内容の情報からは内部犯行の可能性も考えられます。医療機関で採用前に従業員の身元調査を実施するとしても、例えば出入り業者、期限付き職員、契約職員などに対しては同レベルの身元調査ではなく簡易的なものが実施されたり、全く身元調査が行われていないことがあるでしょう。万が一でも悪意ある従業員が内部に入る可能性があるのであれば、医療機関はそれを重大なセキュリティリスクとして認識し、リスクに対する対応策を検討すべきです。

■電子カルテシステムがランサムウェアに感染

2018年10月、市立病院の電子カルテシステムがランサムウェアに感染する事例が公表されました。この事例では、ランサムウェアの感染によって、電子カルテシステムが使用不可となり、一時従業員は紙のカルテや伝票で作業を行わなければならず、2日後に復旧した際も一部データが復元できない状態となっています。患者の情報を扱う電子カルテシステムにおいて、十分なバックアップがとれておらず、復元できないことも問題ですが、一般的にネットワークが隔離されているはずの電子カルテシステムが攻撃を受けたことは学ぶべき重要なポイントだと言えます。どういった経路で電子カルテシステムが感染したかは明らかにされていませんが、隔離されたネットワークという認識を持っていたとしても、実際にはサイバー犯罪者が侵入可能な経路が残されていた可能性が考えられます。また、医療機関のネットワークは、多様な医療機器、医療システムやソフトウェア、それらを製造、販売するベンダ、運用管理するベンダなど、様々なサプライヤーが関連するサプライチェーンで成り立っています。サイバー犯罪者は、直接的に医療機関のネットワークに攻撃する手口だけでなく、そういったサプライチェーンを侵害することで、クローズと認識されているネットワークなどにも攻撃を仕掛けてくることが考えられるでしょう(サプライチェーン攻撃)。

外部ベンダ、内部犯行や電子カルテシステムなど、上記の事例はいずれも医療機関が見落としがちなサプライチェーンに潜むセキュリティリスクにも関係している可能性があります。医療機関では以下レポート「ネットにつながる医療機関のリスクと対策」を参考に、サプライチェーン攻撃の理解を深め、自組織のネットワークのリスク分析とセキュリティ対策を検討することをお勧めします。

図
レポート:ネットにつながる医療機関のリスクと対策