ランサムウェアは、医療機関・病院・製薬会社などの組織を攻撃する悪意あるプログラムです。ランサムウェアの特徴は、コンピュータを使えない状態にしてしまい、「復旧してほしければ身代金を支払うように」とお金を要求する点にあります。昨今は身代金を支払わずに自力でシステムを復元または再構築する事例が増えていますが、完全復旧までは数ヶ月かかり、その間は業務の停止または縮小を余儀なくされています。
医療機関がランサムウェアに狙われやすいということは、みなさんもご存知でしょう。では、攻撃者はなぜ医療機関を狙うのでしょうか。この記事では、医療機関の被害事例が増え続けている理由と、ランサムウェアの攻撃から病院を守る方法を解説していきます。
ランサムウェアとは
ランサムウェアとは、コンピュータ上のデータを暗号化したり、コンピュータにアクセスできないようにしたりするタイプのマルウェアのことをいいます。ランサムウェア(ランサム=身代金)の名前の通り、データの暗号化後、元に戻すことを条件に身代金を要求する画面が表示されるのが特徴です。
マルウェアには色々な種類があり、例えばコンピュータウイルスもマルウェアの一種です。ウイルスの目的は増殖してデータを破壊していくことですが、ランサムウェアの目的は身代金であるため、データを暗号化するが破壊はしないというのがこれまでの流れでした。
ランサムウェアは、特定の組織や業界を狙って作られているものではありません。しかし、医療機関・病院・製薬会社など一部の業種の被害事例が多いのは事実です。まずは、その理由から紐解いていきましょう。
ランサムウェアが医療機関を攻撃する理由
医療機関のランサムウェア被害が多い理由として、次のような医療機関の特殊性が考えられます。
- 患者の診療を停止できないため
- 個人情報を扱っているため
- 古いシステムや脆弱なシステムが残っているため
患者の診療を停止できないため
攻撃者は、医療機関について、身代金の要求に応じやすい業種だと考えている可能性があります。なぜなら、医療機関の業務が停止すると人命や人の健康に影響するため、他の業界よりも解決を急ぐことが予想されるからです。実際に、海外などでは大量の個人情報が流出しているケースもありますので、脅威に感じている方も多いでしょう。
個人情報を扱っているため
医療機関のコンピュータには、電子カルテなど大量の個人情報データが保存されています。これらが流出すると大きな問題になることから、身代金の支払いに応じやすいと攻撃者が考えている可能性があります。
古いシステムや脆弱なシステムが残っているため
病院をはじめとする医療機関では、古いシステムを使い続けていることも少なくありません。古いシステムには、その脆弱性を突いて侵入されやすいという課題があるため、古いシステムを使っている業界を狙うのです。
また逆に、IT化、DX化によって生まれた課題もあります。近年、新しいシステムを導入する病院が増えていますが、それによって外部との接続が増えたことで、接続部分の脆弱性を突いてランサムウェアが攻撃するようになったという事実もあります。業界を問わず、外部ネットワークとの接続部分はランサムウェアの代表的な侵入経路になっています。
ランサムウェア攻撃への備え(医療情報ガイドラインより)
病院のランサムウェア対策の中で重要なのは、被害に遭ってもできる限り診療を止めないことです。厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版(最新版)」には、次のように記されています。
—引用—
医療機関においては、重大な障害により医療提供体制に支障が生じた場合であっても、診療の継続や早期に業務を再開することが求められる。バックアップに関しては、全ての情報をバックアップから復元するのではなく、ある程度のリスクを許容することで運用が容易になり、確実に対応が可能になることも多い。
———-
ランサムウェアの攻撃からシステムを守るための対策はもちろん必要ですが、もっと重要なのは、万が一の時に診療を止めないよう備えておくことです。そのための対策として、ガイドラインでは次の4点が示されています。
- 診療のために直ちに必要な情報をあらかじめ検討する。
- 確実に運用できるバックアップを確保する。
- バックアップは3世代以上確保する。
- バックアップは、記録媒体を使って外部に保存する
診療のために直ちに必要な情報をあらかじめ検討する
一刻も早く診療を再開することは、患者の健康を維持するためにも、病院の損害を最低限にとどめるためにも重要です。これまでランサムウェアの被害に遭った多くの病院でも、システムの復元と並行して、規模を縮小しながらも診療を再開してきました。
一刻も早く診療を再開するには、再開に最低限必要なシステムはどこからどこまでなのかを確認しておき、バックアップをとって万が一の場合に備えることです。被害に遭ってからでは遅いので、今のうちから準備をしておきましょう。
確実に運用できるバックアップを確保する
これまでのランサムウェア被害事例を見ると、データのバックアップはとってあるのにすぐに復元できなかったケースも多くありました。理由は、そのバックアップが復元を想定したものではなかったからです。
バックアップは、ただデータを保存しておけば良いというものではなく、すぐに復元できるように保存しておくことが重要です。
バックアップは3世代以上確保する
ランサムウェアは、バックアップにも侵入します。そのため、復元する時にはまずバックアップをスキャンして感染していないかどうかを確認します。万が一感染している場合は、感染していないものまで遡って復元することになりますので、数世代分は確保しておきましょう。厚生労働省のガイドラインでは、少なくとも3世代以上を推奨しています。
バックアップは改ざんできない状態で保管する
バックアップは、ランサムウェアにアタックされても暗号化されない状態で保管しましょう。例えば、磁気テープのようにネットワークから物理的に切り離されている記録媒体を使えば、ランサムウェアがネットワークに入ってきてもバックアップデータは守られます。