セキュリティ企業Trellixの新たなレポートによると、昨年、医療IT環境で検出された数百万件の脅威のうち、メールのフィッシング、ID(アイデンティティ)の不備、デバイスの脆弱性が、非臨床ITの侵害における主要な侵入経路の一つであり、しばしば患者ケアのワークフローへ「連鎖」して、1日あたり約200万ドル近い損失を引き起こしているという。
Trellixが昨年、世界中の医療顧客全体で検出した脅威5,470万件のうち、75%は米国拠点の組織で発生し、フィッシングを含むメール関連インシデントが検出の少なくとも85%を占めたと、Trellixは述べた。
カリフォルニア州ミルピタスに本拠を置く同セキュリティ企業は、同社の医療クライアントのうち米国に拠点を置く割合について、Information Security Media Groupからの問い合わせに回答しなかった。
「最も差し迫った弱点は、メールとIDの不備、旧式の医療システムおよびOTシステム、そしてラテラルムーブメント(横方向移動)とデータ持ち出しに関する可視性の欠如です」と、Trellixの主任脅威インテリジェンスアナリストであるアン・アン氏は述べた。
「これらの脆弱性は、攻撃者が管理系のアクセスから臨床環境へ静かに移動し、ケアの中断、データ窃取、患者への恐喝につながることを可能にするだけでなく、患者の安全に直接影響し、サイバーセキュリティインシデントを患者安全上の危機へと変える『連鎖効果』も生み出します」と同氏は述べた。
医療機関は、ランサムウェアやその他のサイバー攻撃に対応する際、侵害や侵入が臨床システムへ拡大するのを防ぐために、ITシステムの大半を停止することが多く、その結果、臨床医が患者のデジタル記録にアクセスできなくなる。
Trellixは、こうした病院の停止が、一部の医療機関にとって1分あたり推定9,000ドル、1日あたり190万ドルのコストとなり、攻撃1件あたりの平均停止期間は17日超に及ぶ可能性があると指摘した。
これらのインシデントは、患者の転帰にも影響し得る。Trellixは、カリフォルニア大学サンディエゴ校の研究者による2024年の研究で、病院へのランサムウェア攻撃が、攻撃を受けていない近隣病院で治療を受ける心停止および脳卒中患者の転帰に影響する可能性があることが示されたと述べている。
同研究の研究者は、攻撃を受けた病院から転送された心疾患患者に対するケアの遅れや、近隣の非標的施設の救急部門における全体的な患者負荷の増加が、患者の転帰悪化に寄与する要因である可能性があると推測した(参照:サイバー攻撃によりサンディエゴの病院が患者の転送を余儀なくされる)。
その他の傾向
Trellixによると、業務を混乱させる攻撃に加え、データ窃取や恐喝を伴うインシデントも増加している。
Trellixによると、攻撃者は単純な暗号化から、患者への直接的な嫌がらせを含む「三重恐喝」へと移行している。Trellixは、「恐喝のみ」のハッキングが2025年の医療分野への攻撃の12%を占め、2023年以降で300%増加した一方、平均身代金支払い額は15万ドルに低下したと述べた。
Trellixによると、Qilin、IncRansom、そしてIncRansomおよびRansomHubの元アフィリエイトグループで比較的新参のDevMan2は、2025年に医療分野の組織を狙った最も活発なサイバー犯罪グループの一つだった。
ランサムウェア監視サイトRansomware.liveは月曜日時点で、DevMan2の被害者数が2025年4月時点で174件に上ると述べた。
Trellixによると、DevMan 2は「大規模なデータ持ち出しで悪名高く、医療分野の個別侵害では、1件あたり盗まれた患者データが一貫して200GBから300GBに及ぶ」という。
アン氏は、患者への恐喝は今後数カ月でより一般的になり、より個人的なものになると述べた。アン氏は「攻撃者は、ケアを妨げずにデータを盗む方が検知を減らし、交渉力を高めると学んだため、『静かな』侵害が、目立つランサムウェア攻撃をますます上回るようになる」と述べた。
これらの懸念に対処するため、医療機関は患者安全を軸にし、脅威インテリジェンス主導のセキュリティ戦略を採用すべきだと、アン氏は述べた。
「これらの戦略は、IT、臨床、OT環境全体で、人・プロセス・技術を整合させます。医療機関が、フィッシング耐性のある多要素認証、セッションおよびトークンの監視、最小権限アクセスを実装することで、メールとIDのセキュリティを優先することが重要です」と同氏は述べた。
これらの対策により、侵害が発生する前に初期侵入を効果的に阻止できると同氏は述べた。
さらに、組織はラテラルムーブメントと連鎖的な障害を防止または抑制するために、IT、臨床、OTのネットワークをセグメント化すべきだと同氏は述べた。
「また、エンドポイント、ネットワーク、IDの検知を用いてデータ持ち出しと永続化を早期に特定し、環境全体の可視性を強化することも極めて重要です。」
また、既知の悪用済み脆弱性や、現在悪用されているCVEに対処することも重要だ。「パッチ適用が不可能な場合、組織は、影響を受けたシステムの隔離、仮想パッチの利用、異常な挙動を監視するプロトコルといった代替的な統制策に依拠し、リスクを低減して潜在的な影響を限定すべきです。」
アン氏によると、今後もIDとメールが主要な攻撃対象領域であり、旧式の医療機器およびOTのリスクは改善するどころか悪化する見通しだ。これは、機器の更新ペースが、活発な悪用のペースに引き続き追いついていないためである。
翻訳元: https://www.databreachtoday.com/report-attacks-cascade-from-it-ot-to-patient-care-a-30608
