なぜ医療機関がサイバー攻撃で狙われるのか こんな弱点があった

8つの病院と40の診療所を抱える医療機関がランサムウェア攻撃を受けて、250万人分の機密データが流出した。なぜ、サイバー攻撃で医療機関が狙われるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　医療機関に対するサイバー攻撃は規模が大きく、急増している。

なぜ医療機関を狙うのか

　医療機関は他の業種と比較して狙われやすい理由があるのだという。それは何だろうか。

　ケンタッキー州に本社を置く大手医療機関Norton Healthcareは「2023年5月のランサムウェア攻撃で250万人分の機密データが流出した」と発表した。これは2023年12月8日にメーン州の司法長官に提出したデータ漏えい通知の内容だ（注1）。

　Norton Healthcareは2023年5月9日にサイバー攻撃が始まったことを見つけ、後にランサムウェア攻撃だと断定した。「2023年5月7日からの9日間、攻撃者は幾つかのネットワークストレージデバイスにアクセスできたが、医療記録システムは侵害されなかった」と同社は提出書類で述べた。

　だが、攻撃に関する調査が2023年11月中旬に完了すると、氏名と連絡先、社会保障番号、生年月日、健康情報、保険情報、医療ID番号が漏えいしていたことが分かった。

　Norton HealthcareのWebサイトによると（注2）、同社は8つの病院と40の診療所を運営し、2万人以上の従業員と3000人以上の医療従事者を抱えている。

ランサムウェア攻撃が急増

　2023年10月末に保健福祉省（HHS）が発表した内容によると（注3）、医療機関に対するランサムウェア攻撃は過去4年間で278％も増加した。同省は「2023年に報告された大規模な侵害は、8800万人以上の個人に影響を与え、2022年から60％増加した」と述べた。

　医療機関がランサムウェアの標的にされるのは、機密データを保有し、重要なサービスを提供しているからだ。機器のダウンタイムは患者の生死に関わる可能性があり、被害を受けた組織は「身代金を支払わなければならないのでは」という大きな重圧を受ける。

　サイバーセキュリティ事業を営むEmsisoftのブレット・カロウ氏（脅威アナリスト）によると、少なくとも130の病院にまたがる36の医療システムが、2023年にランサムウェア攻撃の影響を受けたという。

　Norton Healthcareによると、身代金の支払いはしておらず、2023年5月10日にバックアップからシステムの復元を開始して以来、新たな侵害の兆候は検知していないという。

攻撃を発見した後の調査に手間取る

　侵入が検知されてから7カ月後に行われた情報公開は、事件後の調査がいかに複雑なのかを浮き彫りにしている。

　Norton Healthcareは「潜在的に持ち出された文書を見直して、影響を受けた個人とデータの種類を特定するプロセスには時間がかかると判明した」と述べた。

出典：Norton Healthcare ransomware attack exposes 2.5M people（Cybersecurity Dive）
注1：Data Breach Notifications（Maine Attorney General）
注2：About Us（Norton Healthcare）
注3：HHS’ Office for Civil Rights Settles Ransomware Cyber-Attack Investigation（Health and Human Services）