情報への迅速なアクセスを可能とするサービスを、途切れることなく提供するのは、決して簡単ではありません。古いシステム、まとまりの無い組織、一貫性に欠けたセキュリティのもとでこれを行うとしたら、それは途方もない作業になります。残念ながら、多くの医療機関はこのような状態で、犯罪者の不正侵入を招いています。
ランサムウェアの攻撃対象は、個人ユーザーから、情報システムに大きく依存しながらセキュリティが脆弱な組織へと移り変わっており、被害を受けた組織は身代金を支払っているものと思われます。あるランサムウェア開発者は、およそ半年で稼いだ9,400万ドルの残高を示すデジタルウォレットのスクリーンショットを投稿していました。
医療機関が格好の標的になっているのは、セキュリティが脆弱な古いシステムや医療機器を使って運営されていることが多く、人の命に関わることから迅速な情報アクセスが要求される環境にあるためです。
Ponemon Instituteによる最新の調査(英文)によれば、昨年発生した医療データ流出全事例のうち半数は、従業員のミスや手落ちではなく、犯罪者による攻撃が原因でした。それと同時に、こうした組織では、従業員の過失がセキュリティに関する最も大きな懸念となっています。このため、フィッシングのように、人間の弱みに付け込む不正行為が主な攻撃手段となっているのは当然と言えます。
医療機器がランサムウェアの攻撃を受けることは珍しくありませんが、医療機器の保護や復旧は、サーバーやワークステーションのそれよりも難しい作業です。こうした攻撃から復旧するには、身代金の支払いだけでなく、ダウンタイムとシステム復旧時間というコストも発生します。医療機関のネットワークが5~10日間に渡り一部または全面的にダウンした事例もあります。Foundstoneの緊急対応チームは、2016年前半に発生した医療機関に対するランサムウェア攻撃を6カ国で少なくとも19件特定しました。身代金を支払った医療機関の大多数は、この手の事態に対応するための緊急時対応計画を準備していませんでした。
医療機関を守るためにできることとは何でしょうか? ランサムウェアや他のマルウェア感染から医療システムを守る10の対策をご紹介します。
- システムが被害にあっても迅速に復旧できるように、インシデントレスポンス計画を作成しておく。
- 汎用デバイスのパッチをすべて常に最新状態に保つ。攻撃者が悪用している脆弱性の多くにはパッチが用意されています。
- 未承認のプログラムが実行されないよう、医療機器をホワイトリスト化する。
- エンドポイントの保護についてはデフォルト設定に頼らない。マルウェア実行ファイルをブロックできる高度な保護をエンドポイントで有効にする。
- アンチスパム フィルターを追加または強化する。大抵のランサムウェア攻撃では珍しいファイル形式を使用し、複数レベルの構造を.zipファイルに圧縮することで検知を逃れているため、こうしたものもスキャンするように確保する。
- 不要なプログラムとトラフィックをブロックする。多くのランサムウェア制御サーバーは、Torを使って暗号化キーを取得しています。このトラフィックをブロックできれば、暗号化プロセスを遮断できます。
- ネットワークをセグメント化し、治療に必要な重要機器は汎用ネットワークから切り離す。
- バックアップは運用ネットワークから完全に分離し、ランサムウェアのペイロードにバックアップデータを破壊させないようにする。
- なるべくローカル ディスクに機密データを保存しない。バックアップ データがクリーンであれば、安全なネットワーク ドライブを使用した方が復旧は早い。
- スパム メッセージは10件中約1件が開かれてしまっており、継続的にユーザーの意識向上を図ることが極めて重要。
近年発生した医療機関に対するランサムウェア攻撃やその対策の詳細は、『McAfee Labs脅威レポート: 2016年9月』をダウンロードしてご覧ください。
【関連記事】