なぜ医療機関がサイバー攻撃で狙われるのか こんな弱点があった
8つの病院と40の診療所を抱える医療機関がランサムウェア攻撃を受けて、250万人分の機密データが流出した。なぜ、サイバー攻撃で医療機関が狙われるのだろうか。
医療機関に対するサイバー攻撃は規模が大きく、急増している。
なぜ医療機関を狙うのか
医療機関は他の業種と比較して狙われやすい理由があるのだという。それは何だろうか。
ケンタッキー州に本社を置く大手医療機関Norton Healthcareは「2023年5月のランサムウェア攻撃で250万人分の機密データが流出した」と発表した。これは2023年12月8日にメーン州の司法長官に提出したデータ漏えい通知の内容だ(注1)。
Norton Healthcareは2023年5月9日にサイバー攻撃が始まったことを見つけ、後にランサムウェア攻撃だと断定した。「2023年5月7日からの9日間、攻撃者は幾つかのネットワークストレージデバイスにアクセスできたが、医療記録システムは侵害されなかった」と同社は提出書類で述べた。
だが、攻撃に関する調査が2023年11月中旬に完了すると、氏名と連絡先、社会保障番号、生年月日、健康情報、保険情報、医療ID番号が漏えいしていたことが分かった。
Norton HealthcareのWebサイトによると(注2)、同社は8つの病院と40の診療所を運営し、2万人以上の従業員と3000人以上の医療従事者を抱えている。
ランサムウェア攻撃が急増
2023年10月末に保健福祉省(HHS)が発表した内容によると(注3)、医療機関に対するランサムウェア攻撃は過去4年間で278%も増加した。同省は「2023年に報告された大規模な侵害は、8800万人以上の個人に影響を与え、2022年から60%増加した」と述べた。
医療機関がランサムウェアの標的にされるのは、機密データを保有し、重要なサービスを提供しているからだ。機器のダウンタイムは患者の生死に関わる可能性があり、被害を受けた組織は「身代金を支払わなければならないのでは」という大きな重圧を受ける。
サイバーセキュリティ事業を営むEmsisoftのブレット・カロウ氏(脅威アナリスト)によると、少なくとも130の病院にまたがる36の医療システムが、2023年にランサムウェア攻撃の影響を受けたという。
Norton Healthcareによると、身代金の支払いはしておらず、2023年5月10日にバックアップからシステムの復元を開始して以来、新たな侵害の兆候は検知していないという。
攻撃を発見した後の調査に手間取る
侵入が検知されてから7カ月後に行われた情報公開は、事件後の調査がいかに複雑なのかを浮き彫りにしている。
Norton Healthcareは「潜在的に持ち出された文書を見直して、影響を受けた個人とデータの種類を特定するプロセスには時間がかかると判明した」と述べた。
出典:Norton Healthcare ransomware attack exposes 2.5M people(Cybersecurity Dive)
注1:Data Breach Notifications(Maine Attorney General)
注2:About Us(Norton Healthcare)
注3:HHS’ Office for Civil Rights Settles Ransomware Cyber-Attack Investigation(Health and Human Services)
© Industry Dive. All rights reserved.
関連記事
病院は最も「もうかる」攻撃先 日本は米国の失敗をなぞっていないか
医療機関に対するサイバー攻撃が日本においても目立ってきた。これから事態はどう変化していくのだろうか。それを知るには医療情報の共通プラットフォーム化をほぼ完了した米国がどのような状況にあるのかが参考になる。
2TB以上のデータが盗難 16以上の病院を経営する企業へのサイバー攻撃で
サイバー攻撃者は病院を「金になる攻撃先」だと捉えている。事例が数多い米国の状況を紹介する。
医療分野のサイバーインシデントに「内部犯」が他分野の3倍多い理由
ヘルスケア分野でのサイバー侵害は従業員が原因になっていることが多い。特に「不正な権限の乱用」による問題はその他の分野の3倍に上るが、その背景には業界特有の構造的な問題があるのかもしれない。