出典: Tom Bham via Alamy Stock Photo
医療機関がランサムウェアの被害を受けた場合、その危機は最初に標的となった機関だけにとどまりません。システムやアプリケーションがオフラインになることで発生する混乱や混迷は被害組織にとって十分に深刻ですが、周辺の病院や関連機関もその余波に対処しなければならないことが多いのです。
救急車が患者を他院の救急入口に搬送します。予定外の来院が増加します。全体的な患者数が手に負えないほど増加することもあり、特に限られたリソースや厳しい予算で運営している組織にとっては深刻な問題となります。
「自然災害のように、数日経てば峠を越えて回復モードに戻れるというものではありません」とIANSリサーチの教員であり、Fortified Health Securityの独立取締役でもあるPaul Connelly氏はDark Readingに語ります。「例えばAscensionのようなケースでは、4週間もシステムが使えませんでした。ですから、皆が過労状態でカバーしようと必死です。被害を受けた病院だけでなく、地域全体が影響を受けるのです。」
ランサムウェアは業界や組織の種類を問わず混乱を引き起こしますが、医療分野への甚大な影響は、これらの攻撃が患者の重要な治療を妨げ、場合によっては人命を奪う可能性があるためでもあります。
失われる時間
被害を受けた組織のサービス低下により患者が他院に転送されると、周辺病院の過剰収容が深刻な問題となります。カリフォルニア大学サンディエゴ校の研究者による調査では、「OHCA(院外心停止)患者の転帰が悪化した」とされており、標的外の隣接病院で治療を受けた患者もランサムウェア事件の影響を受ける可能性が示唆されています。すでに一部の攻撃は患者の死亡と関連付けられているほか、ランサムウェア集団が医療機関を攻撃し続ける中で、致命的な結果が生じる可能性はますます懸念されています。
ただし、ランサムウェアが発生した際に周辺の組織が受ける影響は、場所によって異なります。地方のコミュニティでは都市部の病院よりも影響が大きくなる可能性があり、救急車や患者の転送に数時間かかることもあり、治療が遅れる恐れがあります。これが長期的な健康被害につながる可能性があると、Health-Information Sharing and Analysis Center(ISAC)のCSO、Errol Weiss氏は警告します。
「主要な医療機関が閉鎖されている場合、患者は今あるもので対応するしかなく、その問題は悪化するかもしれません」とWeiss氏は言います。「患者が来院した時点では治療可能だったものも、遅延によって慢性化することがあります。」
都市部の病院もベッド数に限りがあり、ランサムウェア事件でリソースが使えなくなると、他の病院が患者の受け入れを余儀なくされます。患者数の増加は一見、病院の収益に良さそうに見えますが、実際にはそうではないとConnelly氏は警告します。病院は突然30%も患者が増える事態に対応できるだけの備品やスタッフが十分に用意されていないのです。
ランサムウェアの脅威は依然として深刻
一部のベンダーレポートでは昨年ランサムウェアが減少したとされていますが、脅威が消えたわけではないとWeiss氏は指摘します。Health-ISACは全ての重要インフラの被害を2020年から追跡しています。2024年には、全ての重要インフラ組織で記録されたランサムウェアイベントが約6,000件に達し、Weiss氏は「決して喜べる数字ではない」と述べています。
「そのうち[6,000件のうち] 446件が医療分野でした」とWeiss氏は説明します。「2025年前半には全分野で4,159件を追跡しました。全分野で昨年を上回るペースで推移しています(医療分野は281件)。決して状況は良くなっていません。」
1月下旬のアップデートで、Health-ISACは継続中のランサムウェア攻撃について「SimpleHelpリモート監視・管理ソフトウェアの脆弱性が原因の可能性がある」と業界に警告しました。この通達では 医療機関に対し、適切なパッチの適用とサードパーティにもパッチが適用されていることの確認を促しました。
サイバーインシデントの中でも、ランサムウェアは最も有害です。なぜなら、患者ケアの運用が妨げられると、実際に患者個人に物理的な影響が及ぶからです。これに対し、データ侵害はデータの窃取や、その後の攻撃による金融詐欺につながることがあります。マルウェアは個別のシステムを侵害し、オフラインにすることがあります。ランサムウェアは患者ケアの運用を中断させるとConnelly氏は述べ、攻撃グループは最大の金銭的レバレッジが得られることを知って患者ケアシステムを標的にしていると指摘します。そして、誰もが無縁ではありません。大規模な医療システムは対抗するリソースが多い一方で、攻撃者にとってより魅力的な標的となるため、より大きなリスクにも直面します。
最悪の事態に常に備える
病院は日常的に重大な状況に対応していますが、ランサムウェアの影響には十分備えていません。多重事故による患者急増には満床になることもありますが、次に何をすべきか計画がありますと、ESETのチーフセキュリティエバンジェリストTony Anscombe氏は述べます。
「病院は大きな事態が発生した場合にも対応できるよう、計画を頻繁にテストしています。たとえば救急外来を閉鎖した場合、どこに、どうやって患者を転送するかを確認します」とAnscombe氏は言います。「ある意味、実際に転送を実践している業界の中でも最も経験豊富な分野の一つでしょう。」
医療施設がアクティブシューターや火災などの訓練を行うのと同様に、ランサムウェアも事業継続計画や緊急対応計画に組み込む必要があるとConnelly氏は説明します。前職時代、Connelly氏とセキュリティチームは、ランサムウェアの影響や長期的なシステム停止を考慮し、全システムがオフラインになった場合にスタッフが紙とペンで対応することも想定した計画に変更しました。
「ランサムウェアの影響範囲が広いため、夜も眠れませんでした」とConnelly氏は言います。「[前職では] プライバシーやHIPAA(医療保険の相互運用性と説明責任に関する法律)への準拠を気にしていましたが、それらは患者の治療を妨げるものではありません。しかし、ランサムウェア事件はそうではありません。取締役会とも机上演習を行い、ランサムウェアがもたらす影響の大きさに目を覚まされました。」
MFA(多要素認証)が脅威を抑える鍵
これらの組織で依然として多くのレガシーシステムが使われていることや、多くの個別組織がリソース不足であることが、この分野を魅力的な標的にしています。病院は予算削減の決断に苦しみ、サイバーセキュリティは患者ケアに直接影響しないため後回しにされがちです。しかし、優先すべきセキュリティプロトコルがあり、業界全体のセキュリティレベル向上に役立ちます。
例えば、リモートおよび特権アカウントへのアクセスに対する多要素認証(MFA)の義務化です。Ascensionの攻撃も、United Health Change Healthcareへの攻撃も、リモートアクセスにMFAがなかったことに起因するとWeiss氏は述べます。
「MFAを有効にし、できる限り監査して有効化されていることを確認してください」と彼は強調します。
それが後から役立ったかもしれませんが、まずは基本から始めるのが最善です。環境の最大の弱点や脆弱性がどこにあるかを把握し、その後、基本的なサイバーハイジーン(衛生)プロトコルに進むことをWeiss氏は推奨します。つまり、パッチを最新に保ち、バックアップをテストし、復旧計画を練習することです。現在の脅威状況に対応するには、セキュリティ意識を変える必要があります。「侵害が起きることは分かっているので、どれだけ早く対応し、復旧できるかが重要です」とWeiss氏は助言します。
「もう頭を抱えたくなる」
バックアップ、復旧、訓練、準備はすべて重要だとConnelly氏も同意しますが、優先順位付けに関しては万能薬はありません。対処すべき変数が多すぎるのです。
病院が最高のID・アクセス管理や最新のツールを備えていても、脆弱なレガシーシステムや医療機器、訓練不足の職員、クラウドのリスク、サプライチェーンリスクには太刀打ちできません。
「どうやって脅威を特定し、検知し、対応するのか?」とConnelly氏は問いかけます。「人間の行動はどう扱うのか?データガバナンスは?AI(人工知能)の導入競争も激しい。量子時代への備えは?もう頭を抱えたくなるほど、カバーすべき範囲が広いのです。」
医療分野がAIでサイバーセキュリティを強化する方法もあります。必ずしも高価なツールである必要はないと、サイバーセキュリティ企業Guruculの創業者兼CEOであり、多くの医療顧客を持つSaryu Nayyar氏は言います。ユースケースには患者データのプライバシー保護、脆弱性検知、アラート疲労、データ分類などが含まれます。
「AIは患者プライバシーに関する異常な事象を検知するのに強力で、従来は解決が難しかった問題です」とNayyar氏は述べます。「エージェンティックAIの力はゲームチェンジャーです。自動修復可能な脆弱性がないかを適応型AIで検知することもできます。ペースメーカーやロボット手術機器などもリスクがあります。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/hospital-gets-ransomware-others-feel-pain