Verizonは2026年データ侵害調査報告書を発表しました。この報告書は、ヘルスケア部門がサイバー犯罪グループの継続的な標的になっていることを示しています。このセクターは、ランサムウェア、未パッチの脆弱性、人的エラーを含む継続的な多ベクトル攻撃に対処する必要があります。原因がなんであれ、これらの攻撃は患者プライバシー、安全性、およびケアを危険にさらしています。
Verizonは2026年の報告書のために1,492件のヘルスケアインシデントを追跡しました。これには1,438件の確認されたデータ開示が含まれており、その大多数は複数の攻撃ベクトルを通じて達成されたランサムウェア駆動型システム侵入に由来しており、脆弱性の悪用(20%)、フィッシング攻撃(14%)、盗まれた認証情報(11%)、および従業員エラー(11%)を含みます。脅威アクターに既知の脆弱性を悪用するための非常に大きな機会の窓が与えられています。Verizonは、2025年には重大な脆弱性の26%のみが完全に修復されたことを発見しました。解決までの中央値は43日に延びています。複雑なレガシーシステムが標準的なヘルスケアでは、機会の窓はより大きく、脅威アクターに広い攻撃窓を与えています。
外部アクターがインシデントの大多数を占めましたが、内部による侵害はヘルスケアで引き続き一般的です。内部アクターは侵害の19%の背後にありました。Verizonが指摘するように、人的エラーは引き続き侵害の慢性的な原因です。人的要素はインシデントの54%に関与しており、誤設定、誤った通信、暗号化されていないデバイスの紛失/盗難、および不良なサイバーセキュリティ衛生が含まれます。
ヘルスケアデータインシデントの最も一般的な人的関連の原因は誤配信で、約40%のインシデントを占めています。これに約25%の紛失インシデント、約20%の誤設定が続きます。サイバーセキュリティへのより大きな投資は、外部アクターによる81%の侵害に対処するのに役立ちますが、セキュリティ意識トレーニングはデータ侵害の防止に重要な役割を果たします。従業員はセキュリティの基礎について認識させられ、良好なサイバーセキュリティ衛生の実践の重要性を教えられる必要があります。ソーシャルエンジニアリングは2025年のヘルスケア侵害の3番目の主な原因であり、その大多数はフィッシングによるもので、その後にプリテキストが続きます。これらの攻撃技術はトレーニングコースで詳細に扱う必要があります。
ヘルスケアデータ侵害の約32%が第三者を含んでいたため、内部的にセキュリティの基礎を適用することは解決策の一部にすぎません。ヘルスケア組織はまた、ビジネスアソシエートとサプライヤーとの契約にセキュリティを組み込むことを確認する必要があります。HIPAA Security Ruleへの提案された更新(最終ルールは今年のいずれかの時点で予想される)は、ビジネスアソシエートのより規範的なセキュリティ要件と、セキュリティ対策が実装されていることを確認するために被保険者がより大きなベンダー監視を必要とすることにより、第三者侵害の数を減らすのに役立つでしょう。
毎年、Verizonによって分析された実世界のセキュリティインシデントの数は増加し続けており、今年も例外ではありません。報告書は31,000件以上のインシデントをカバーしており、22,000件の確認されたデータ侵害が含まれています。GenAIツールは攻撃を加速させ、その量を増やすために脅威アクターによってますます使用されています。GenAIはプロセスのさまざまな段階で使用されており、ターゲットの選択、脆弱性の調査、マルウェア開発、ネットワークへの足掛かりの獲得、およびキャンペーンをより効率的で効果的にすることが含まれます。
全体的に、すべてのセクターにわたって、システム侵入は引き続きトップの侵害パターンであり、ランサムウェアが主なドライバーです。昨年、盗まれた認証情報がトップのエントリーポイントでしたが、今年は、この長年の一般的な攻撃ベクトルは脆弱性の悪用によって追い抜かれました。これはVerizonが19年間DBIRレポートを作成する中で、脆弱性の悪用がリストをトップにランクされるのは初めてです。Verizonは、この変更を攻撃者によるAIの使用に起因させており、既知の脆弱性を悪用するまでの時間を短縮するのに役立っています。ディフェンダーは脆弱性を修復する時間ははるかに短くなっています。以前は開示から悪用までの時間は数ヶ月で測定されていましたが、脆弱性は現在数時間で悪用されています。
ランサムウェアは引き続き侵入の主要なドライバーです。ランサムウェア関連の侵入は体積が再び増加し、現在すべての侵害の48%を占めており、昨年の44%から上昇しています。ただし、身代金を支払うことを選択する被害者の割合は減少しており、中央値の身代金支払いも減少しています。過去1年間、69%の被害者は身代金を支払わないことを選択し、中央値の身代金支払いは$150,000から$139,875に低下しました。
メールフィッシングに関する認識が高まっており、この攻撃技術の成功率が低下しています。脅威アクターは、テキストメッセージ(スミッシング)やボイスフィッシング(ヴィッシング)などのモバイル中心のソーシャルエンジニアリング技術へのピボットで対応しており、成功率は従来のメールフィッシングより40%高くなっています。Verizonは、GenAIツールの容易な入手可能性が重大なデータセキュリティリスクを生成していると警告しています。従業員はIT部門の知識または承認なしにGenAIツールをますます使用しています。シャドウGenAI使用の大幅な増加は、未承認プラットフォームを通じたデータ流出の重大なリスクを生成します。これはヘルスケアなどの規制されたセクターにとって特に懸念の種です。
「AIと高速な脆弱性の悪用によって駆動されるサイバー脅威の速度は増加していますが、セキュリティの基本的な原則と強力なリスク管理は、最も効果的な防御のままです」とVerizon Business SVP Global SolutionsのDaniel Lawsonは述べています。「DBIRは、組織が回復力を求める際に、これらの基礎がまだ有効であることを強調しています。」
翻訳元: https://www.hipaajournal.com/verizon-dbir-2026-healthcare/
