狙われている医療業界②　～これまでに発生したセキュリティインシデントの確認～

医療機関におけるセキュリティインシデントは小さいものから大きなものまで日々発生しています。しかし、日本国内では大きく報道されることなく対岸の火事のような風潮がありました。

現在の医療機関はICT化の波が来ておりインターネットに接続可能な機器が多く使用されるようになっています。これは医療機関も対岸の火事と言ってはいられない状況になってきています。実際の日本国内でも大きなセキュリティインシデントが発生しています。

医療機関が持ち得る情報・システムは非常にセンシティブな物が多く、尚且つ人の命に直結します。医療機関を守るという事は患者様の命を生活を守る事と同義であると考えて情報セキュリティ対策を行っていかなければいけないでしょう。

前回はデータに基づいて医療機関ひいては医療業界が置かれている情報セキュリティと取り巻く環境についてみていきました。今回は、実施に発生して医療機関のセキュリティインシデントを日本国内だけでなく海外での発生事例も確認して、医療機関の情報セキュリティを取り巻く環境を見ていきましょう。

※海外のインシデントを取り上げる理由とした欧米で発生した攻撃事例は日本国内でも起こる可能性が非常に高いとされる研究データが存在するためです。（医療業界問わず）

※狙われている医療業界①　～データで読み解く医療業界の情報セキュリティ環境　～

海外で発生した医療機関のセキュリティインシデント

海外に目を向けて医療機関の情報セキュリティに関連するインシデントやサイバー攻撃による被害は毎日のように報道されています。今回はその中でも特に被害が大きかった事例をピックアップして確認したいと思います。今回確認する事例はごく１部に過ぎず、医療機関の被害は年々増加しています。また、それらに関連する訴訟なども増加しており、医療機関側のセキュリティ対策の不備が認定され多額の損害賠償を払うという事例も増加しています。

2017年イギリスでのNHSのランサムウェア「WannaCry」による被害

２０１７年5月１２日ごろからイギリスのNHS（英国の国民保険サービス）が管理する医療機関236あるNHS Trust病院の81、595のGP診療所（日本で云う「かかりつけ医」のようなもの）でランサムウェア「WannaCry」の被害が発生しました。

この影響により約1週間に及んでNHSが提供するシステムが一部地域で停止する事態に陥ることになりました。この影響により下記のような被害・対応を迫られる様になりました。

• システムがロックアウトされ、患者のファイルなどを確認することが出来なくなった。手書きによる事務に切り替えた
• 複数の医療機関で診療が行えなかった
• レントゲン撮影を行うことが出来なくなった
• 予定されていた心臓手術が中止となった
• 救急搬送された患者を受け入れられず救急車の行先変更が必要となった
• 急患以外は受診に来ないよう呼びかけが行われた

・ランサムウェア「WannaCry」とは

WannaCry（ワナクライ）はwindowsシステムを標的にしたランサムウェアになります。

２０１７年4月２５日にトレンドマイクロ社が感染を確認したのが最も古い報告になります。そして、２０１７年５月１２日ごろより大規模な感染が確認されました。

このランサムウェアは電子メール・ワーム・マルウェアなど多岐にわたる感染方法を有しており瞬く間に世界的な感染を引き起こしました。ユーロポール（EUの警察機構）は「過去に前例のない規模」と発表し、感染の規模の大きさを物語ました。５月１２日からの大規模感染では１５０か国２３万台以上の情報端末に感染したとされています。

また、WannaCryはwindowsシステムの脆弱性を利用して感染しており、２０１７年３月時点でMicrosoft社が公開・配布していたセキュリティパッチをインストールしていない端末が感染していました。つまりは既存の脆弱性を利用された攻撃になります。被害にあったOSはwindows7が大半を占めていました。

また、Microsoft社のサポートが終了しているwindows XPなどに対しても危険性が指摘され、そのためMicrosoft社はサポート終了のOSに対しても異例の緊急セキュリティパッチを配布しました。

最新のセキュリティパッチの適応という基本の情報セキュリティ対策がいかに重要なものであるのか痛感するランサムウェアになります。

また、暗号化されたファイルの拡張子は「.wcry」「.wncry」になります。

※【現役ハッカーが教える情報セキュリティ入門】ランサムウェアとは？？実害と対策を徹底解説！！

２０１８年シンガポールのSingHealthが運営する医療機関へのサイバー攻撃

２０１８年７月にシンガポール最大の医療グループSingHealthが運営する専門外来医院や総合病院を標的としたサイバー攻撃が発生しました。

この攻撃によりシンガポール国内の患者情報約１５０万人のデータの流出が確認（ちなみにシンガポールの総人口は約５６０万人）されておりその中には当時のシンガポール首相の情報も含まれていました。このデータ流出は「シンガポール史上最悪のサイバー攻撃」とされています。

具体的な被害としては2015年5月1日〜2018年7月4日にSingHealthが運営する専門外来医院や総合病院を訪れた患者150万人の個人情報にアクセスされ、コピーされました。流出したデータには、患者の氏名、国民登録番号、住所、性別、人種、生年月日などが含まれていました。また、同年7月２０日にシンガポール保健省と情報通信省の共同声明では外来患者約１６万人分の医療データの流出が確認されました。

また、同共同声明内では「攻撃者側がSingHealthグループを意図的に対象を絞り、計画性の高い攻撃を仕掛けてきている」という事に言及しています。つまり、医療機関が狙われる対象であることが明確になりました。

2020年アメリカUHSへのサイバー攻撃

2020年９月２７日の早朝にアメリカ大手医療グループのUHSにおいてサイバー攻撃が発生し、アメリカ各地の医療機関においてシステムが停止する事態が発生しました。

UHSグループはアメリカ国内で約４００ヶ所の医療関連施設を運営しているグループであり、アメリカだけでなくイギリスなどの国外でも医療サービスを展開しています。従業員数は９万人以上であり、毎年約３５０万人以上の患者に医療サービスを提供しています。

サイバー攻撃の具体的な内容はランサムウェア「Ryuk」の攻撃でした。このランサムウェア感染により医療システム及び電話システムが暗号化され使用できない状況になりました。この影響により感染が確認された施設ではパソコンや医療機器の使用を停止し、紙媒体、手作業への移行を行い患者対応を縮小して継続されました。

「Ryuk」はロシアのWizard Spiderと呼ばれるサイバー犯罪グループと繋がりを持っているランサムウェアです。この犯罪グループは「big game hunting」（大物狩り）で知られており、これまでに運送大手のPitney Bowesやアメリカ沿岸警備隊への攻撃が知られています。つまり、犯罪グループにとって医療機関・施設は攻撃し甲斐のある標的であると認識されているという事でしょう。

2020年イギリスの美容整形外科へのサイバー攻撃

2020年12月にイギリスのの大手美容整形外科クリニックチェーンであるTransform Hospital Groupに対してサイバー攻撃が発生しました。

このサイバー攻撃の具体的な被害は約600GBにも及ぶ「重要機密文書や顧客の個人データ、そして顧客の写真」です。このサイバー攻撃が発覚した理由としては攻撃グループがダークウェア上のリークサイトに犯行声明を出し、Transform Hospital Groupのデータにアクセスした証拠として一部患者情報や機密ファイルを公開したことによります。

この攻撃グループは「REvil」「Sodinokibi」という名前で知られるハッカーグループであり、これまでもディズニーやネットフリックスなどといった大きな企業やお金になりそうな組織・情報を標的にすることで有名なグループです。

今回は、医療機関から盗み出したデータの「患者の手術前と手術後の写真を公開する」と医療機関に対して脅迫を行いました。

Transform Hospital Groupに通院したことがある患者には、有名歌手や女優、タレントなども存在しています。女性化乳房の治療で胸部縮小手術を受けたというサイモン・ヘイルズ氏は、病院から「データセキュリティに関する重要な事態」について通知するメールが届いたとBBCに証言しており、「友人や同僚は自分が手術したことを知らないので、手術前の写真が公開されないか心配です」と語っています。

このような事例から医療機関の患者データやなどはお金になると攻撃者側には知られています。そして、医療機関が保有しているデータは非常に機微な物が多く患者の生活や命を脅かす可能性があります。

海外で発生した医療機関のセキュリティインシデントまとめ

これまでご紹介させて頂きました海外の事例はほんの一握りです。実際には毎週、毎日のようにセキュリティインシデントは発生しています。

特に海外の医療システムは日本よりICT化が進んでおりクラウドベースの電子カルテ、ネットワークで相互につながる医療機器、地域連携などかなりオープンなシステムの構成がなされています。その為、一概に日本との比較は出来ませんが、サイバー攻撃・セキュリティインシデントに国境はありません。

海外で起きている事例と似た事例が日本でも起きる可能性は非常に高いです。その為、海外で起きた事例を知り、対策・シュミレーションする事は有効な対策だと言えるでしょう。

また、攻撃者グループは医療機関の情報がお金になりやすく、医療機関のセキュリティが他と比べて緩いことを熟知しています。今後さらに医療機関を狙った攻撃は増加していくとが増加し、その影響で死者が出ることが懸念されています。

 

日本の医療機関で発生したセキュリティインシデント

これまでは海外の医療機関で発生したセキュリティインシデントについて簡単に見ていきました。

これらのインシデントは海外に限った事ではありません。日本の医療機関のネットワークはクローズドに見えますが意外と多くの穴が存在します。その為日本国内の医療機関でも以外に多くのセキュリティインシデントが発生しています。

今回は日本国内の医療機関で発生したセキュリティインシデントの中でも特に被害の大きかった事例をピックアップしてご紹介していこうと思います。

２０１８年奈良県宇陀市立病院でのランサムウェア被害

２０１８年１０月に奈良県の宇陀市にある宇陀市立病院でランサムウェアの被害が発生しました。この感染の被害により１０月１日から１５日までに来院された患者情報１１３３人分の電子カルテ情報が暗号されました。

この暗号化による被害は大きく電子カルテの停止に伴う、新規患者の診察停止、紙カルテへの移行、緊急搬送の受け入れ停止などにも及びました。また、暗号化された患者データはは復旧することが出来ませんでした。その影響により国に対して行う保険申請が出来ず医療機関は損害を被ることとなりました。そして、高額治療を受けた患者のデータも暗号化されており、高額治療の還付の申請も行う事も出来ず患者様に金銭的被害が発生してしまいました。

このランサムウェアの具体的な感染経路は判明していませんが、メール経由で感染するランサムウェアであったためそこが感染経路だと考えられます。

そしてこのインシデント事例で一番の問題点はバックアップデータが適切に取得・管理出来ていなかった事です。バックアップデータが適切に管理されていればバックアップデータから復旧することが出来たと考えます。

２０１９年横浜市立大学病院でがん患者約３４００名分漏洩

2019年8月に横浜市立大学病院においてがん患者約３４００名分の情報が漏えいしたと発表されました。

泌尿器科に勤めていた４０歳の男性医師が膀胱がんの患者の名前や生年月日、症状などが記載されたファイルをメールで誤送信したことが原因でした。

大学病院ではメールの利用や個人情報についてのルールや規則が存在していました。しかし、それらのルールが形骸化しており全く機能していなかったのです。

ルール・規則を作ったは良いが見直し・改定を行っていない医療機関は非常に多いです。また、形骸化していなくとも、周知徹底がなされておらず意味の無いものになっている場合も多いです。

しっかりと時代や働き方にあったルール・規則に随時見直しを行い周知徹底を行う事で単純な漏えいインシデントを最小にしていくことが重要です。

2019年多摩北部医療センターへの不正アクセス

２０１９年５月２０日に東京都保健医療公社は多摩北部医療センターの職員端末が不正アクセスを受け、端末内の情報が流出した可能性があると発表しました。

インシデントの経緯としては5月１日に同センター職員宛てにマルウェアが添付されたメールが届き翌日２日にメール添付ファイルを開きマルウェアに感染したとみられています。その後１５日ごろより同センター宛てに不審なメールの受信を確認し、翌１６日に同センター職員端末やメールアカウントにおいて不正アクセスを確認する事態となりました。

このインシデントによりセンター職員（医師）の端末、メールアカウントが不正アクセスを受けメールアドレス約１５００件、患者情報約２０件の情報漏えいが報告されました。

そして、漏えいした情報を利用し、ほかの端末へのスパムメールの送信も確認されています。

感染してマルウェアは「Emotet」の亜種とされ、添付ファイルを開いた職員には「不審なメールを開いた自覚はない」とされています。

ちなみに今回のインシデントの調査により同センターにてマルウェアに感染した端末が９台、感染の疑いのある端末が１０台発見されました。調査の結果これらの感染はこのインシデントは関連がないとされ、気付かないうちに多くの端末がマルウェアに感染していた事がわかりました。

※詳細情報：https://piyolog.hatenadiary.jp/entry/2019/05/21/063000

２０２１年１0月徳島県のつるぎ町立半田病院でのランサムウェア被害

２０２１年１0月に徳島県のつるぎ町立半田病院にて大規模のランサムウェア感染が確認されました。

10月３１日の午前０時ごろに病院内のプリンター１０数台が勝手に印刷を始め「データを盗んで暗号化した。データは公開される。復元してほしければ連絡しろ」という内容の英文を紙がなくなるまで印刷し続けました。そのころには院内の多くの機器がランサムウェアに感染しており、電子カルテも暗号化されていました。

電子カルテが暗号されたことにより患者情報約８万５千人の情報を閲覧することが出来なくなりました。また、新規の患者の受付も停止せざる負えなくなりました。診察もすべて紙媒体へ移行され患者からこれまでの治療内容や投薬内容をヒアリングしながらて探りで行おうような状況になってしまいました。

結果として約２か月間に及んでこのような状況が続き、約２億円をかけて電子カルテを新しくするよう事になりました。

２０２１年１２月国際ハッカー集団が都立病院機構を攻撃目標に

２０２１年の１２月に国際ハッカー集団が高度な救急医療などを担う東京都立病院に攻撃準備を進めているとの情報があるとして、都が各医療機関に注意喚起していたことが判明しました。

医療ISACによる通報を受け、都立墨東病院（墨田区）と同松沢病院（世田谷区）が攻撃対象として名指しされていたことが判明しています。この攻撃準備の情報は海外のセキュリティ企業により探知されました。攻撃者が使用しているチャットに上記の2院の名前が確認され、攻撃の準備が行われていることが判明しました。また、同チャット内にて同院職員のメールアカウントが大量に掲載されていたことも確認されました。

医療機関が実際に標的にされているという事が明確になった事例になっています。

まとめ

近年国内、海外を問わず医療機関における情報セキュリティ、サイバーセキュリティに関連するインシデントが日々確認されています。急速にICT化が進み、セキュリティという部分が蔑ろにされている現状があります。

医療機関には非常にセンシティブな情報が多く存在しており、そのような情報の漏えいや医療システムの停止などは誰かの命・生活に直結するため、最優先で守らなければいけない場所であります。

しかし、現状の医療機関はセキュリティが甘く攻撃者に狙われやすいターゲットとなってしまっています。

医療機関を守る事が患者様やその家族を守る事になるという気持ちを常に持ちながら適切なICTの利活用が今後求められていくでしょう。