ランサムウェア攻撃は、全ての産業に対して行われましたが、医療業界はとりわけハッカーにとっては、穴だらけのセキュリティ状態として、恰好のターゲットとなりました。ランサムウェア攻撃は、医療施術や、医療事務のいずれかまたは両方に衝撃を与えました。今回の事例は、経理面、支払面、危険な状態にある患者の医療履歴(カルテ含)だけではなく、まさに患者の生命自体も、危険にさらされたことが、問題となっています。考えてもみてください、施術中、内視鏡に接続されているコンピュータの画面がフリーズしてしまったら、それは患者にとって危険な状態といえます。それがさらに、手術が同時に実施されていた時に、この事象が発生したら、とんでもない事態が起こることは、容易に想像できます。

医療業界におけるサイバー攻撃の損害

病院にとって、患者の死亡は、最悪の事態といえますが、ヘルスケア事業者にとって負わされる損害がほかにもあります。それは、この業界だけがもつ以下のような事象です。

システムのダウンタイムによる損害

受診や医療品在庫管理、支払い、予約、処方箋などの事務系システムへの攻撃は、通常業務を麻痺させ、業務の遅延や復旧までの追加のマンパワー投入を余儀なくさせるもととなります。

患者満足度の低下

システムがダウンしている間、患者は待たされるわけですが、これはさらなる悪循環を生みます。つまり、システムが復旧してもなお、滞った受診をさばききるまでには、まだ患者を待たせ続けることとなり、結果的に患者へのサービスの低下をもたらします。

風評被害

患者満足度の低下と、病院のシステムがいい加減なものだったという事実は、その地域での風評被害となって跳ね返ってきます。

売上の減少

風評被害と個人情報流出リスクがあいまって、より安全な病院を選択する患者も現れ、売り上げの減少に至るケースもありえます。

「ランサム=身代金」の支払い

決して良い解決方法ではないのですが、病院の中には、システム復旧のために、実際に身代金を支払ったケースもあります。

医療業界でのランサムウェア攻撃事例

以下は、実際に発生したランサムウェア事例と、ヘルスケア事業者への教訓となります。

  1. Hollywood Presbyterian Medical Center(米国カリフォルニア州)

    米国ロサンゼルスにあるこの病院は、2016年に攻撃を受け、10日間業務ができない状態に陥りました。この期間に患者の電子カルテへは、アクセス不能になっています。身代金の要求額は、通常300-500米ドル(33,000-55,000円)のところ、なんと17,000米ドル(約187万円)に上り、実際病院側は、ビットコインで支払いに応じたとのことです。

  2. Medstar Health(米国有数の非営利医療サービス団体)

    この事例は、最大のヘルスケアシステム攻撃の1つとされ、10の病院と250の外来患者センターが影響を受けました。この攻撃はすべてのセンターに対してほぼ同時に実行され、ほぼ完全にシステムへのアクセスが不能になったというものです。すべての医療機関は、DRP(災害時リカバリプラン)を実装していたにも関わらず、攻撃が大規模かつ広範すぎ、病院側はただただ驚愕するばかりで手の施しようもなく、復旧までに多大な時間を要した、ということです。この攻撃は、複数拠点に分散している事業体でも同時攻撃が可能であり、統合的なDRPが、このような場合も想定して作られるべきことを証明しました。これは、すべての業種にもあてはまることといえます。

  3. Kansas Heart Hospital(米国カンザス州)

    この施設は、2016年5月に攻撃を受けています。迅速なシステム復旧を優先し、身代金の支払いに応じたケースです。要求されるまま支払いに応じたにも関わらず、データ復旧は部分的で、追加の身代金を要求されました。賢明なことに、彼らは二回目の要求には応じませんでした。この事例が示しているのは、身代金を支払ったといえども、システムの復旧は保証されない、ということです。身代金の支払いは、ハッカーをますます増長させるだけなのです。また、こういったランサムウェア攻撃のような不正行為は、被害企業が支払っている身代金によって維持されていることを肝に銘じる必要があります。

  4. Methodist Hospital(米国テキサス州)

    この病院は、2016年3月に攻撃を受け、ハッカーは1,600米ドル(約17.6万円)を要求しました。この攻撃による最大教訓は、院内の事務作業が「鉛筆と紙」で行われたということです。端的に言って、医師が医療外業務をするのに、2倍の時間を要したということです。この事例は、いざという時でも、業務効率をダウンさせない、適切なリカバリプランを持つ必要性を証明しています。

  5. Christopher Rural Health(米国イリノイ州)

    この事例は、ランサムウェア攻撃にどう対処したらよいかの好例といえます。この医療センターのネットワークは、2015年5月にランサムウェア攻撃の被害にあっています。しかし、身代金を支払うのではなく、この医療機関は、日ごろから定期的にシステムバックアップを行っており、今回もそのバックアップをリストアして、復旧させたています。この事例は、バックアップをきちんと取っておくことの意義と、それらがサイバー攻撃時に有効な対策であることを証明したといえます。

人命に関わる事業者にとって、身代金を支払って事業を再開させることは、手っ取り早い方法かもしれませんが、多くの事例がそうであるように、身代金を支払ったからといって、システム復旧が保証されるわけではありません。実際のところ、ハッカーは追加の身代金の要求をする可能性が高く、当然ながらそういった金銭は、次のランサムウェア開発の軍資金となっていくのです。ランサムウェア攻撃に対抗する最善の方法は、適切なバックアップ対策を日ごろから実行し、統合的なセキュリティ対策を実装しておくことです。

Seqriteは、皆様のビジネスの拡大を、シンプルITをコンセプトにお手伝いさせていただいています。Seqriteの製品、サービスに興味をもたれましたら、ぜひSeqriteウェブサイトをご覧ください。