ここ数年、病院、クリニックなどをターゲットとするサイバー攻撃が増加しています。実際、サイバー攻撃によって電子カルテが使えなくなり、診療に影響を受けたことがある医療機関も存在するので、既存の医療機関も、これから開業を考えているドクターも、セキュリティ対策への意識を高く持つことが不可欠です。具体的にどのような対策を講じればいいのか、詳しく解説していきます。
サイバー攻撃とは?
サイバー攻撃とは、インターネットなどのネットワークを通じて、サーバーやパソコン、スマートフォンなどの情報端末に不正にアクセスして、金銭や個人情報を盗んだり、システムの機能を停止させたりする行為のことです。
サイバー攻撃を受けた側が負うことになるリスクとしては、損害賠償責任リスク、情報漏洩リスク、事業中断リスク、危機管理対応リスクなどが挙げられます 。
サイバー攻撃の発生件数推移は?
総務省によると、令和4年に都道府県警察から警察庁に報告された不正アクセス行為の認知件数2,200件で、前年に比べて約45.1%増加しています。
【不正アクセス行為の認知件数の推移】
| 平成30年 | 1,486件 |
| 令和元年 | 2,960件 |
| 令和2年 | 2,806件 |
| 令和3年 | 1,516件 |
| 令和4年 | 2,200件 |
参照:総務省「不正アクセス行為の発生状況」pdf2枚目より一部抜粋
サイバー攻撃の種類
サイバー攻撃にはいくつかの種類があります。そのなかから、企業など特定のターゲットを狙ったサイバー攻撃としては、以下のようなものが挙げられます。
標的型攻撃
企業など特定の組織やユーザーグループを狙ったサイバー攻撃です。攻撃者がターゲットの取引先や知り合いなどになりすまして、悪意のあるファイルを添付したメールや、悪意のあるサイトへ誘導するURLを送って、端末をマルウェアに感染させようとします。
水野み場型攻撃
ターゲットが頻繁に訪れるwebサイトを改ざんしてマルウェアに感染させます。標的型攻撃の一種です。
ランサムウェア
マルウェアのうち、主に身代金を要求されるために使用されるのがランサムウェアです。デバイスに侵入して、ディスクに保存しているデータを暗号化したり、画面をロックしたりして、端末の画面に身代金の要求および支払情報を表示します。
エモテット(Emotet)
主に電子メールを介して感染させる、遠隔操作型のボットマルウェアです。悪意のあるサイトにアクセスしたり、悪意のあるマクロを含むファイルを開いたりすることで感染します。感染すると、マルウェアやスパム送信といった形で、次のターゲットへの攻撃に利用されることがあります。
クリックジャッキング
ボタンやリンクを透明化・不可視化したうえで通常のwebページに配置するなどして、視覚的にユーザー騙してクリックさせることで、情報を盗み取るなどする攻撃です。
キーロガー
ストロークなどのキーボード操作を記録する目的で開発されたソフトウェアですが、キーの入力などを記録できることから、悪意ある第三者によって不正に情報を取得する目的で、サイバー攻撃に使われるようになりました。
サプライチェーン攻撃
政府機関や大企業などをターゲットとする場合に、ターゲットに直接攻撃を仕掛けるのではなく、セキュリティ対策が比較的脆弱な子会社や取引先を経由して攻撃する手法です。具体的な攻撃方法としては、取引先からの電子メールを装ってターゲットに送信したり、ターゲット企業が使用するソフトウェアに不正なアップデートを施したりします。
ビジネスメール詐欺
業務上のメールを盗み見たり、従業員を騙して送金取引に関する資金をだまし取ったりして金銭的被害を与えるサイバー攻撃です。実際に詐欺をおこなう前に、マルウェアを介してターゲット企業の従業員などから情報を盗み出す場合もあります。
そのほか、不特定多数をターゲットにしたフィッシング詐欺やゼロクリック詐欺(=アダルトサイトなどを閲覧している最中に「料金を振り込んでください」などのメッセージを表示する詐欺)などもありますが、どのような手口があるのかについておおまかにでも知っておくと、怪しいメールがきたときやパソコン上に不審なメッセージが表示されたときに、うっかりクリックするなどして攻撃されてしまうことを防ぎやすくなります。また、いつも見ているサイトを開くときにも最新の注意を払えるようになるでしょう。
医療機関が特に注意すべきサイバー攻撃は?
先に説明したサイバー攻撃は、いずれも医療機関を標的としてくる可能性がありますが、そのなかでも特に注意が必要なのは、「ランサムウェア」「サプライチェーン攻撃」「標的型攻撃」であると考えられます。ひとつの理由として、これら3つのサイバー攻撃は、独立行政法人情報処理推進機構が投票を募った「情報セキュリティ10大脅威2023」の“組織にとっての脅威”部門でトップ3を占めていることが挙げられます。ちなみに、1位から10位は以下の通りです。
【情報セキュリティ10大脅威2023】
| 1位 | ランサムウェア |
| 2位 | サプライチェーン攻撃 |
| 3位 | 標的型攻撃 |
| 4位 | 内部不正による情報漏洩 |
| 5位 | テレワークなどのニューノーマルな働き方を狙った攻撃 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 7位 | ビジネスメール詐欺による金銭被害 |
| 8位 | 脆弱性対策の公開に伴う悪用増加 |
| 9位 | 不注意による情報漏洩などの被害 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
参照:IPA 独立行政法人情報処理推進機構「情報セキュリティ10大脅威2023」
このうち、1位に選ばれたランサムウェアに関しては、2022年10月、静岡県にある医療機関が被害を受け、約2,000人の患者の診療記録や予約情報が暗号化された記録が残っています。さらに同月、大阪市の病院でも、ランサムウェアによるサイバー攻撃を受けて電子カルテシステムが利用できなくなり、数日間、診療や手術をおこなえないという事態が発生しています 。
また、もちろん4位以下の脅威についても注意が必要なことはいうまでもありません。6位の「ゼロデイ攻撃」についてもう少しかみ砕いて説明すると、ソフトウェアなどに脆弱性があることが発見されたことの情報公開がなされて対策が講じられる前に、その脆弱性を狙って攻撃してくるサイバー攻撃のことです 。
医療機関はサイバー攻撃のターゲットとなりやすい
前述の通り、サイバー攻撃には、特定のターゲットを狙ったものと、不特定多数をターゲットとしているものがあります。そのうち医療機関は特に気を付けるべきは前者で、なぜかというと以下のような要素を兼ね備えているためです。
資金力がある
ある程度の規模がある医療機関は、たとえばランサムウェアで攻撃して身代金を要求すれば、支払う可能性が高いと思われやすいといえます。
患者の個人情報やクレジットカード情報をはじめとする情報資産を多数保有している
患者の個人情報や健康保険証番号、クレジットカード番号および手術や手術歴などの医療に関する情報は高値で取引されるケースがあるため、不正入手しようと考える人が一定数います。
外部機器や業者とネットワークを共有していることから、脆弱である場合が多い
検査結果をオンラインで受け取れたり、地域の医療機関と密にコンタクトを取り合えたりすることは大きなメリットである一方、外部機器や業者とネットワークを共有しているがために、不正アクセスされる可能性が高まることがあります。
セキュリティ対策が万全でない
医療機関へのサイバー攻撃は、攻撃を受けたことによって診療がストップすることから、近年、社会問題になっていますが、なぜ完全に防ぐことができないかというと、もっとも大きな要因はセキュリティ対策が不十分さにあるといえるのではないでしょうか。
病院、クリニックのサイバーセキュリティ対策のポイントは?
続いては、病院、クリニックがおこなうべきサイバーセキュリティ対策について解説していきます。厚生労働省が公表している「医療情報システムの安全管理に関するガイドライン」によると、医療機関がおこなうべきサイバーセキュリティ対策は主に8つ挙げられます。
内訳としては、「情報システム運用責任者の設置」「アクセス制御」「IoT機器の管理」「情報および情報機器の持ち出しに関する方針や規程の整備」「BYODの原則禁止」「サイバー攻撃などへの対応」「バックアップ」「情報の破棄」となります。それぞれについて詳しく解説していきます。
情報システム運用責任者の設置
自院における、情報システム運用責任者の設置および担当者の限定をおこなうことは、「最低限守るべきガイドライン」とされています。
アクセス制御
誰がどの情報までアクセスできるかを定めて、適切に運用することが大切です。医療情報システムのユーザー認証には、二段階認証が推奨されています。
IoT機器の管理
24時間心電図計などのウェアラブル端末などを患者に貸し出す際には、情報セキュリティ上のリスクがあることをきちんと説明して同意を得ることが大切です。
情報および情報機器の持ち出しに関する方針や規程の整備
情報および情報機器の持ち出しに関する方針や運用管理規定を定めることが大切です。万が一、持ち出した情報や情報機器が盗難・紛失の被害に遭った場合の対応についても決めておきます。
BYODの原則禁止
患者やスタッフを含め、個人が持ち歩いているスマホをはじめとする情報通信機器(BYOD=Bring Your Own Device)が医療情報システムにアクセスすることや、公衆無線LANの利用などは原則禁止します。
サイバー攻撃などへの対応
スタッフに対してサイバー攻撃に関する教育をおこなうと同時に、システム障害による個人情報漏洩や医療提供体制に支障が生じたかは、またはその恐れがあるときには、所轄省庁及び厚生労働省医政局に連絡します。
≪医療機関等がサイバー攻撃を受けた場合の厚生労働省連絡先≫
医政局特定医薬品開発支援・医療情報担当参事官室
TEL: 03-6812-7837
MAIL: igishitsu×mhlw.go.jp
※迷惑メール防止のためメールアドレスの一部を変えています。「×」を「@」に置き換えてください
参照:厚生労働省「医療分野のサイバーセキュリティ対策について」医療機関等がサイバー攻撃を受けた際の厚生労働省連絡先
もしくは、
厚生労働省医政局研究開発振興課医療情報技術推進室
TEL:03-3595-2430
厚生労働省「医療情報システムの安全管理に関するガイドライン」とは より一部抜粋
バックアップ
情報を保存している場所で情報の毀損が生じても、既存前の状態に戻すことができるよう、バックアップをとっておきます。
情報の破棄
使用していた情報処理機器の廃棄は、必ず専門的な知識を有する者に委任して、データが読みだせないようにしてもらいます。
厚生労働省「医療情報システムの安全管理に関するガイドライン」とは より一部抜粋
セキュリティ対策に力を入れているシステムを選ぶことも大切
医療機関でやるべきことがわかっていても、時間的にも技術的にも、医療機関の人間のみでセキュリティ対策を万全に保つことはなかなか難しいのが実情でしょう。しかし、少しでもセキュリティ対策の精度を上げるために、セキュリティ対策面で信頼のおける企業のシステムを選ぶことは、どんな病院、どんなクリニックにとっても可能なはず。電子カルテや各ソフトウェア、医療機器を選ぶ際は、メーカーの担当者に話を聞いたり、インターネットで製品の評判について調べたりするなどして、自院のセキュリティ向上につながるものを選ぶようにしてくださいね。
特徴
対象規模
オプション機能
提供形態
診療科目
この記事は、2024年1月時点の情報を元に作成しています。
