全日病ニュース

病院におけるサイバーセキュリティ対策

シリーズ●医療におけるデジタル・トランスフォーメーション（ＤＸ）　第２回　警視庁サイバーセキュリティ対策本部

　本号では、医療（DX）シリーズの第１回と第２回を掲載します。第２回は、「病院におけるサイバーセキュリティ対策」について、警視庁サイバーセキュリティ対策本部のご担当者に執筆いただきました。

１　医療機関を取り巻く情勢について
　警察庁によると、2021年のランサムウェア被害の業種別報告件数に「医療、福祉」７件（５％）が初めて計上されました。昨年10月末には国内の病院がランサムウェアの被害に遭い、２か月間に及んで正常な病院業務が滞ったという事案が発生し、今年に入っても複数の医療機関でランサムウェアの被害が発生しています。医療機関におけるランサムウェアの被害は直接、人命に係わる重大なインシデントです。
　また、2021年11月に復活したマルウェア「エモテット」の被害も急増しており、医療機関においても多数の感染が確認されております。このような情勢を踏まえ、ランサムウェア及びエモテットの現状と対策に触れた後、病院におけるサイバーセキュリティ対策について記述していきます。

２　ランサムウェアによる被害状況と対策について
⑴ランサムウェアとは
　ランサムウェアとは、身代金という意味を持つ「Ransom」とコンピュータに何らかの処理を行うプログラムなどを指す「Software」を組み合わせた造語です。
　感染させた端末内のデータを暗号化するなどによって、利用できない状態にした上で、そのデータを利用できる状態に戻すことと引き換えに金銭を要求するマルウェアの名称です。

⑵ランサムウェアによる犯罪の傾向と特徴
　警察庁により公表されている企業・団体等のランサムウェアの被害の件数は、年々増加しており、2021年（令和３年）下半期（85件）は2020年（令和２年）下半期（21件）と比べて約４倍になっており、企業・団体の規模を問わず被害に遭っています。
　犯行手口は二重恐喝が82件（85％）となっており、この手口は企業が保有する機密データや個人情報データを事前に盗み出し、暗号化したデータを復号するための身代金を要求するのに加え、支払われない場合は盗んだデータを公開するという脅迫行為を行う手口です。
　感染経路について、現在はVPN機器やリモートデスクトップなどの企業のネットワーク等のインフラの脆弱性を狙って侵入する手口が増えていますが、この他にも、改ざんしたWebサイトや、偽のWebサイトを閲覧させてランサムウェアに感染させるというもの、なりすましメール等を不特定多数に送り付け、添付したファイルやメール本文のURLをクリックさせて感染させるものなどがあります。
　犯行の特徴としては、「RaaS（Ransomware as a Service）」と呼ばれるビジネスモデルが使用されていることです。これはソフトウェアを利用する期間に応じて、料金を支払うことで使うことができるパッケージの「SaaS（Software as a Service）」のランサムウェア版で、ランサムウェア攻撃に必要なものをパッケージ化し、利用期間に応じた料金を支払うことで利用できるサービスのことです。

⑶ランサムウェアによる被害に遭わない、または、被害を最小限に抑える対策
〇サイバーセキュリティ対策の基本ルールの定着
・ウイルス対策ソフトやセキュリティソフトを導入する。
・OSやセキュリティソフト等のアップデートは必ず行う。
・被害に遭っているかもしれないと思った時の相談先、報告先を周知しておく。
〇メールを悪用した犯罪の手口とその対策に関する注意喚起と啓発
　従業員に対して以下の事項について啓発する。
・取引先からのメールであっても、添付ファイルを安易に開封しない。
・URL付きメールを受信した場合、安易にURLをクリックしない。
・マクロ付きのWord やExcel等の「コンテンツの有効化」ボタンは、安易にクリックしない。
〇機密データなどのバックアップ
・バックアップデータはネットワークから物理的に切り離した状態で保存する。
・二重恐喝に備えて、普段から使用している機密データについても暗号化した状態で保存する。
〇脆弱性の修正
　製品開発事業者の製品情報ページやJVN（JVN iPedia、MyJVN）のサイト等で脆弱性情報の発表とともに「パッチ」の公開を認知した場合は、できる限り早く「パッチ」を適用して、不備のない状態を保つ。また、パッチ適用前にアカウント情報が流出していることもあるため、必ず、パスワードの変更をする。
〇パスワードポリシーの徹底
・パスワード設定はシステムで設定できる最大文字数で使用可能な文字を使い、利用者だけが覚えられる複雑な文字列を設定する。
・パスワードは、システム・機器ごとに違うものを設定する。
・生体認証やワンタイムパスワードなど、パスワード入力とは別の要素を取り入れた多要素認証を採用する。
〇その他のセキュリティ対策
　不審なメールを受信しないためのメールフィルタリング、WAFやUTM、EDRの導入、不審な挙動の履歴を確認できるログの取得などについても検討し、積極的な対策に取り組む。

⑷ランサムウェアに感染した場合の対応
・有線LANであればLANケーブルを抜く、無線LAN であればWi-Fiルータの電源を切るなどして、ネットワークから隔離する。
・感染した端末内に復号に必要な情報等が残っていることがあるため、端末の電源を切らない。
・セキュリティ担当者に速報する。
・所管省庁や警察に通報・連絡する他、独立行政法人情報処理推進機構（通称：IPA）やJPCERT/CC（一般社団法人JPCERTコーディネーションセンター）に連絡して、事後対応の指示を受け行動する。

３　エモテットによる被害状況と対策について
⑴エモテットによる被害状況
　エモテットとは、攻撃者から送信されるメールに添付されたマクロが埋め込まれたExcelやWord ファイル、メール本文中の不正なURL、パスワード付きZipファイル、偽装されたPDF閲覧ソフト、不正なショートカットファイル等から感染するマルウェアです。これらのメールに添付されたファイルのマクロを実行（コンテンツの有効化）したり、偽装されたPDF閲覧ソフトやショートカットファイルをクリックすると、エモテットに感染します。
　エモテットは2019年に流行して以降、世界中で猛威を振るっていましたが、2021年１月のEUROPOL（欧州刑事警察機構）による対策により、その脅威は去ったと思われました。しかし、2021年11月に復活し、今日に至るまで急速に感染が拡大しています。
　エモテットに感染すると、端末やブラウザに保存されたメールアドレスやメール本文、メールアカウントのパスワード、更にはクレジットカード情報等が盗まれてしまう場合がある上、他のマルウェアに感染させられることもあり、その結果として、ランサムウェアに感染してデータが暗号化されるなどの被害に繋がるおそれもあります。
　また、攻撃者はエモテットに感染した端末から窃取したメール情報を悪用し、過去にメール送受信履歴のある人に、正規のメール元を装って、なりすましメールを送るなどして、さらにエモテットの感染を拡大させるため、エモテットに感染すると、自組織内で横展開するだけでなく、取引先等にも展開して影響を及ぼします。

⑵エモテットに感染しないための対策
〇システム的にすべきこと
・OSやアプリケーション、セキュリティソフトを常に最新の状態に保つ。
・Officeのマクロの自動実行を無効化する。
〇個人が注意すべきこと
・身に覚えのないメールに添付されたマクロ付きのExcelやWordファイルのマクロは送信元に確認するまでは実行しない。
・身に覚えのないメールに添付されたパスワード付きZipファイル、メール本文中のURLは送信元に確認するまではクリックしない。
・ショートカットファイルは絶対にクリックしない。
・身に覚えのないメールや添付ファイルを開いてしまった場合は、すぐにシステム担当者に連絡する。

⑶エモテットへの感染が疑われる場合の対応
・感染が疑われる端末をネットワークから隔離する。
・JPCERT/CCが公開している最新のエモテット専用の感染確認ツール「EmoCheck」で感染の有無を確認する。
・他のマルウェア感染の有無を確認するため、最新の定義ファイルに更新したウィルス対策ソフトでフルスキャンを実行する。
・感染したアカウントのメールアドレスやパスワードを変更する。
・漏洩した端末を初期化する。
・漏洩した情報が悪用され、被害を受ける可能性のある関係先に対する注意喚起を実施する。

４　病院のサイバーセキュリティ対策について
　昨今の情勢から、本年５月27日に開催された厚生労働省の健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループにおいて、平時の予防対応、インシデント発生後の初動対応、日常診療を取り戻すための復旧対応のための各種対応方針が示されました。その中で医療法第25条第１項に基づく立入検査の留意事項に、「医療情報システムの安全管理に関するガイドライン第5.2版」に記載されたサイバーセキュリティ対策に関する項目が４つ追加されました。その中でもランサムウェアの被害に遭わないために、特に以下の２項目を徹底する必要があります。
　一つ目が「PCやVPN機器等の脆弱性情報を収集し、速やかに対策を行える体制が確保されていること」です。最近の病院におけるランサムウェア被害の侵入経路のほとんどがVPN機器等の脆弱性を起因として流出した認証情報の悪用によるものです。電子カルテシステムをはじめとする各種医療機器が閉域網であっても、それらの保守管理等に使用するVPN機器等に繋がっていれば、その脆弱性を突かれて侵入されてしまいます。院内のシステムがどこで外部に繋がっているのか、正確なネットワーク構成図を作成して外部との接続ポイントを明確にすることが必要です。また、医療情報システム会社等との契約を確認し、その責任分担を明確にして、脆弱性情報が提供され、パッチが適正に適用されるように見直しをするほか、JVN等の脆弱性情報を公開するサイトやサービスにユーザー登録をするなどして、タイムリーに脆弱性情報が収集でき、対策がとれる体制を確保してください。
　二つ目が「診療継続のために直ちに必要な情報をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること」です。ランサムウェアの被害に遭った病院であっても、物理的に切り離した状態でバックアップを行っていた病院は速やかに復旧することができています。物理的に切り離した状態でバックアップがとられているのか、また、ランサムウェアの被害に遭った場合でも、バックアップデータを速やかに復旧することができるのかを確認しておいてください。
　なお、上記項目以外にも、「不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCPとして定めておくとともに、サイバー攻撃を想定した対処手順が適切に機能することを訓練等により確認すること」「医療情報システムの保守会社等への連絡体制や厚生労働省への連絡体制が確保されていること」についても立入検査の留意事項に追加されていますので、これらもしっかりと実施する必要があります。
　最後になりますが、サイバーセキュリティ対策において何よりも重要なことは、全国の病院で発生している事案を他人事と捉えずに、自らの病院に当てはめて確認していくことです。特に最近においても、冒頭に申し上げた病院の被害の原因であるFortinet社製のVPNの脆弱性による被害が度々あることから、その判断をする病院の経営層の方がサイバーセキュリティ対策の重要性をしっかりと認識し、時にはシステム担当者から意見がなされるかもしれませんが、真摯に耳を傾けて、必要な対策を講じる必要があります。病院に対するサイバー犯罪の被害は人命に係わる重大なインシデントであるという意識をしっかりと認識し、安心・安全なサイバーセキュリティ対策に取り組んでいただくことを切に願います。