FortiGate ZTNA
近年、病院や医療機関を標的にしたサイバー攻撃が相次いで発生しており、内閣サイバーセキュリティセンター(NISC)からは病院のランサムウェア被害が公表されています。
今回は病院におけるランサムウェア被害について、概要や被害事例、対策方法などを解説します。
※本記事に掲載している情報は2024年3月時点のものです
目次
FortiGate ZTNA
マルウェアを無力化し、業務を止めないという最大の価値を実現!
従来の検知型と全く異なる、革新的なエンドポイントプロテクション製品。
まずは、病院におけるランサムウェア被害について解説します。
ランサムウェア(Ransomware)とは、PCやサーバーに保存された重要なデータを暗号化により人質とし、復旧する代わりに身代金(ランサム)を要求するソフトウェアです。
コンピューターに危害を加える目的で作成された悪意のあるソフトウェア(プログラム)はマルウェアと呼ばれますが、ランサムウェアはマルウェアの一種に分類されます。
病院がランサムウェアに感染してしまった場合、患者情報が記載された電子カルテにアクセスできなくなることもあり、診療中止や手術中止など業務が停滞する恐れがあります。
警察庁によれば、2022年の医療・福祉分野におけるランサムウェア被害の届出件数は20件でした。※その標的には総合病院だけでなく診療所まであり、どの機関においても対策が必要であるといえるでしょう。
※出典:「令和4年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf)
内閣サイバーセキュリティセンターが2022年に発表した資料によると、2022年上半期におけるランサムウェアの感染経路はVPN機器からの侵入が68%、リモートデスクトップからの侵入が15%となっています。※つまり、外部から内部への接続手段を取る際にランサムウェアに感染してしまうのです。
また、不審なメールの開封、ウェブサイトからのファイルダウンロード、外部サービスの利用なども感染経路となっています。
※出典:「ランサムウェアの感染経路とその対策」(内閣サイバーセキュリティセンター) (https://www.nisc.go.jp/pr/column/20220927.html)
病院がランサムウェア被害に遭うと、次のような損害が出ます。
ランサムウェアに感染すると、データが暗号化されて開けなくなったり、スマートフォンやPCがロックされて起動できなくなったりします。
電子カルテを閲覧できなくなるため、救急搬送の受け入れや手術の停止、外来診療を制限しなければいけません。復旧に時間がかかり、新規患者を診療する機会を失ってしまいます。
ランサムウェア被害によって患者の個人情報が漏えいした場合、病院の信用低下につながりかねません。
警察署へ届出を提出し、ホームページやメディアを通じて被害を公表する必要もあります。また、漏えいした情報が他の犯罪に悪用される可能性も考えられ、その際は病院としてさらに責任を問われてしまいます。
ランサムウェアに感染した場合、システム復旧や損害賠償などの損失が発生します。病院が被る経済的損失をまとめると、主に以下のとおりです。
実際にランサムウェア被害に遭った病院は、どのような影響を受けるのでしょうか。
次に病院におけるランサムウェア被害の事例をご紹介します。
2021年10月、徳島県の公立病院(一般病床120床)は、サイバー攻撃を行う組織LockBit(ロックビット)によるランサムウェア被害に遭いました。
感染経路はVPNで、漏えいした管理者情報を悪用された可能性が高いと公表しています。
電子カルテシステムやバックアップ用データが暗号化されていまい、2カ月間ほど業務停止となり、業務再開のためのシステムやデータ復旧には約7,000万円かかったと報告されています。
2018年10月、奈良県の私立病院(一般病床176床)の電子カルテシステムが、ウイルスに感染して使用できなくなりました。
感染経路は不明ですが、犯罪者チームによって開発されたランサムウェアGand Crabにより、ウイルス感染したと報告されています。
2日後に電子カルテシステムは復旧しましたが、暗号化された診療記録は参照できない状態のため、該当の患者さまには説明を余儀なくされました。また、データが閲覧できない関係で診療報酬請求が遅れ、対象者に影響が出ました。
2022年6月、徳島県の独立行政法人の医療機関は、ランサムウェアLockbit 2.0により電子カルテシステムや、LANシステムの使用ができなくなりました。
当日は受付業務や処方に支障が出るため新規患者の診療ができず、再来患者限定で診療することとなりました。
データのバックアップを取得していたため、2日後には新規患者を含めた診療を再開できましたが、病院内のプリントから英文の文書が自動出力されるなど脅迫被害を受けてしまいました。
病院でランサムウェア被害に遭遇したら、慌てずに対応することが大切です。
厚生労働省が公表する厚生労働省が公表する「医療情報システムの安全管理に関するガイドライン」※に沿って、適切な流れで対応するようにしましょう。
※出典:「医療情報システムの安全管理に関するガイドライン」(厚生労働省)(https://www.mhlw.go.jp/content/10808000/000844703.pdf)
医療情報システムや機器の異常を検知したら、ウイルス感染の兆候(ファイルの暗号化や、スマートフォンやPCのロック)があるかどうかを確認しましょう。
もしウイルス感染の兆候があった場合、有線LANの場合はケーブルを抜き、無線LANの場合はWi-Fiをオフにするなど、ネットワークから感染端末を切断してほかの端末がウイルス感染しないようにしましょう。
医療情報システム安全管理責任者へ、ウイルス感染の発生日や異常内容を報告してください。そして、医療情報システム安全管理責任者に原因を調査してもらいます。
医療情報システム安全管理責任者は、ウイルス感染時の技術的な相談ができるか(03-5978-7509)を利用しましょう。
重大な障害がある場合、何が原因か調査します。
主には「医療情報システム」「リモートメンテナンス」「LAN設備」「電源系統」「従業員による情報の持ち出し」などの問題が挙げられます。
必要に応じて、医療情報システムのベンダーやサービス提供事業者に協力を仰ぎ、被害が拡大しないよう努めましょう。
被害状況を把握できたら、病院の経営者に状況を報告します。
報告するときは、以下の内容を伝えるようにしましょう。
また、厚生労働省や地方公共団体、個人情報保護委員会への報告を行い、復旧の基本方針を指示します。
ランサムウェアにより停止したシステムの復旧をベンダーに依頼します。
ベンダーと相談をして、具体的な復旧業務や手順、コストを整理したうえで復旧計画を進めていきましょう。
もしシステム復旧に時間がかかる場合、紙による運用を検討するのも1つです。医療情報システムや機器が正常に稼働できることが確認できたら、システムを利用する関係者に連絡をします。
システム復旧を終えたら、経営者に被害状況を報告します。
地方公共団体や個人情報団体に報告して、法律専門家も含めて再発防止策を検討していきます。
再発防止策を検討したら、医療従事者やベンダーを巻き込んで、日常業務に落とし込み、対策が行われているかチェックする習慣を作りましょう。必要に応じて、ホームページにて情報公開するかも検討していきます。
ランサムウェアによる損害を被らないためにも、どのような対策をすればよいのでしょうか。ここでは、病院が取り組みたいランサムウェア対策をご紹介します。
ランサムウェアの感染を防ぐためのセキュリティ対策を実施しましょう。セキュリティ対策には、以下のようなものがあります。
システム間のデータフロー図を作成しておくことで、エンドポイントやデータセンター、サーバーに出入りするデータのプロセスを正確に把握できます。
ランサムウェアに感染したときの対処や原因調査が行いやすくなります。
ランサムウェア感染に備えて、データをバックアップしておきましょう。バックアップデータは厳重に保護しておき、適切な世代管理(最新データのほかに、それ以前のデータも保存する)を行います。
日常的な監視で感染時の早期検知・封じ込みが行えるようにしておくことも重要です。
従業員のセキュリティ意識が低いと、不審なメールに気づかずに、添付されているURLやファイルを開いてしまうことがあります。また、業者にリモートでシステムメンテナンスを依頼する際なども危機感を抱きにくく、ランサムウェアの侵入につながります。
従業員1人ひとりのセキュリティ意識を改革し、組織レベルでのリスク改善に取り組みましょう。
従業員向けのセキュリティ研修を行うときは、不審なメールを開いたりアプリケーションをダウンロードしたりしないように注意を呼びかけましょう。また、ランサムウェアに感染したときの対応について実践トレーニングをしておくと、適切な対処につながります。
感染時の被害を抑えるために、サイバー保険に加入しておくことも重要な一手となります。保険に加入しておけば、第三者に対する損害賠償責任や、復旧や対策に必要な費用を補償してもらえます。完全にサイバー事故を防ぐことはできませんが、損害を最小限に抑えられるでしょう。
病院は患者の情報など秘匿性の高いデータを取り扱っているため、サイバー攻撃の被害を受けやすいです。そのため、サイバー攻撃の検知や分析、対策を講じる専門組織SOCなど相談先を見つけておきましょう。
病院でもIoTやAIを活用する動きも出ていますが、多様化した環境のセキュリティ課題やインシデントを解決・分析できるところに依頼するようにしましょう。
ランサムウェアに感染すると、患者情報が記載された電子カルテにアクセスできなくなるため、診療中止や手術中止など業務が停滞してしまう恐れがあります。
また、患者の個人情報が漏えいしてしまうと、病院の信用低下にもつながりかねません。加えて復旧や対策などに費用がかかり、経済的損失も避けられないでしょう。
警視庁の注意喚起にもあるように、病院は秘匿性の高い情報を扱うため、サイバー攻撃の標的にされやすいです。本記事を参考に、ランサムウェア対策について一度検討してみてください。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
マルウェアを無力化し、業務を止めないという最大の価値を実現!
従来の検知型と全く異なる、革新的なエンドポイントプロテクション製品。
