出典:Verizonビジネスのデータ侵害調査レポート
医師や看護師が日々のストレスで十分な負担を抱えているのに、新しいレポートによると、彼らはさらに増加する社会工学的攻撃に直面しており、その多くは人工知能(AI)に勢いづけられた脅威アクターからのものです。
Verizonビジネスの2026年データ侵害調査レポート(DBIR)によると、業界はランサムウェアに起因する課題、第三者ベンダーの侵害、および社会工学的攻撃に直面しています。しかし、最初の2つは継続的な脅威ですが、医療機関に対する社会工学的攻撃は2025年に勢いを増したようです。
社会工学的攻撃は、システム侵入と設定ミスとともに、攻撃者が侵害で使用した上位3つのパターンの1つとして戻ってきました。この3つは侵害の81%を占めていました、レポートによると。
さらに懸念される点は、攻撃者の社会工学的戦術が大きく進化しているということです。過去12~18ヶ月間、ShelterZoomの共同創業者兼CEO Chao Cheng-Shorlandは、AIを活用した社会工学的攻撃を活用して緊迫感を作り出し、人々を不意を突く高度な攻撃に対応する医療機関が増えているのを目撃しています。この緊迫感は、瞬時に決断を下す必要がある医療専門家の間ではすでに大きな問題です。
「攻撃者は生成AIを使用して、大規模に高度にターゲット化された状況認識に基づいた通信と悪意のあるドキュメントを作成することで、従来のフィッシングを一段階上げました」とCheng-Shorlandはダークリーディングに述べています。
単なる攻撃の増加ではなく、より効果的な攻撃
残念ながら、医療専門家はサイバー脅威に精通しています。攻撃者は、レガシーマシン、高価値データ、および患者ケアを継続的に提供する厳格なミッションのため、このセクターが脆弱であることを知っています。
ヘルス・インフォメーション・シェアリング・アナリシス・センター(ISAC)のCSO Errol Weissは、社会工学的攻撃は単なる継続的な脅威であるだけでなく、非常に効果的な脅威であると述べています。医療機関を区別するのは、運用上の緊迫感、複雑なサプライヤー関係、および認証情報や患者データなどの高価値のターゲットをどの程度うまく悪用するかです。
「メンバーレポートと業界全体の観察に基づくと、これらの攻撃は継続的であり、多くの組織では過去1年間に『再発』していると感じられています」とWeissはダークリーディングに述べています。「より重要なのは単なるボリュームではなく、有効性です。」
脅威アクターは、メールセキュリティの改善に対応して、口実を洗練させ、ベンダー請求、人事(HR)、ITアクセス、臨床運用を含むヘルスケアワークフローに合わせた誘い込みをカスタマイズしました、とWeissは付け加えています。
社会工学的攻撃は既知の脅威技術ですが、生成AI採用とともに進化し、脅威アクターがより正確な口実作成とランドスケープ全体でより高品質の誘い込みを作成できるようになりました。これはヘルスケアを含みます、とProofpointのスタッフ脅威研究者Sarah Sabotkaは同意しています。
しかし、SabotkaはVerizonの2026年DBIRで強調された見かけ上の増加は、1つの良い理由によるものかもしれないと指摘しています:より良いレポートです。 彼女は、2025年DBIRが侵害通知で最小限のデータ利用可能性のため「その他すべて」をヘルスケア侵害パターンの上位3つとしてフラグを立てたが、2026年に社会工学的攻撃がそれに代わって上位3つに入ったと説明しています。
「レポート品質が向上するにつれ、以前は分類するための十分な詳細情報が不足していた社会工学的攻撃が、現在は正確にレポートされています」とSabotkaはダークリーディングに述べています。「2026年の数字は、実際の活動の増加と同じくらい、より良い可視性を反映しているかもしれません。」
AIが社会工学的攻撃のリスクを高める
口実作成の上昇(アイデンティティまたはシナリオを偽造してターゲットを本来は実行しない行動を実行するように操作する)は、VerizonのDBIR全体で共通のテーマであり、専門家たちも強調した脅威です。AIの助けにより、ヘルスケア侵害のレポートで社会的行動の上位2番目の位置にジャンプしました。フィッシングのすぐ後ろです。口実作成はVerizonの2025年または2024年DBIRのヘルスケアに関して言及されていませんでした。
Proofpointは、特に詐欺キャンペーンで、医療セクターを含むすべての業界に対して口実作成が使用されているのを観察しました、とSabotkaは付け加えています。
「口実作成は、バックストーリーの思慮深い構成が、このようなカリキュレートされた社会工学的誘い込みの信憑性を高めるため、非常に成功する可能性があります」と彼女は言っています。「歴史的には、ほとんどの社会工学的誘い込みは緊迫感に依存していることが観察されています。口実作成は異なり、正当性を確立し、ターゲットと信頼を構築することを目指しています。」
あらゆる社会工学的技術と同様に、口実作成は説得についてのすべてです。これはHRまたは財務の偽装を伴う可能性があります。ターゲットの信頼を得るためのあらゆることです。そして、ランドスケープ全体の他のすべての脅威と同様に、AIとともに進化しました。
最大の懸念は、攻撃者が組織がどのように通信するかを推測する必要がなくなったということです、とCheng-Shorlandは説明しています。AIはそのデータを取り込み、組織が日常的にメールを通じて共有するドキュメント、契約、プレゼンテーション、その他のファイルから学習できます、と彼女は付け加えています。脅威アクターはAIを使用してドキュメント、文体、用語、ベンダー関係、通信パターンを分析し、不気味なほど説得力のあるメッセージを作成できます。
「医療および他の高度に協調的な業界では、これは危険なフィードバックループを作成します」とCheng-Shorlandは言っています。「より多くの機密コンテンツが公開されるほど、攻撃者はより正確に経営幹部、臨床医、ビジネスパートナー、および信頼できるベンダーになりすまし、社会工学的攻撃をより難しく検出できなくなります。」
テクノロジーだけでなく信頼を攻撃する
トレンドはHealth-ISACが見ているものを反映しています。より対象化された、なりすまし主導、およびマルチチャネルの社会的操作へのシフトです。脅威アクターは、「医療が実際にどのように機能するかと一致する、より信頼できる欺瞞」につながる口実作成などの技術を使用します、とWeissは説明しています。
「[社会工学的攻撃]の進化には、より厳密なパーソナライゼーション、より多くのサプライヤー/経営幹部/ヘルプデスクの偽装、および認証情報盗難とセッション乗っ取り技術へのより強い強調が含まれ、すべてチームが検証または対応する前に迅速に移動するように設計されています」とWeissは警告しています。
医療業界は「ベースラインより脆弱である」ため、かなりの課題があります、とDBIRは述べています。Verizonは、組織がフィッシングを最優先事項にし、多要素認証を拡張してVPN アクセスを保護し、継続的なセキュリティ認識トレーニングを実装することを推奨しました。
Weissは、セキュリティ対策が層状のアイデンティティ制御と機密要求に拡張される強い検証手順に焦点を当てるべきであり、迅速なレポートとトリアージでサポートされるべきであることに同意しています。「攻撃者はテクニカル弱点と同じくらい人間の信頼を最適化しているため。」
