この記事では、医療機関が直面している最近の脅威を分析し、患者と組織をサイバー攻撃の脅威から保護するために、サイバーフィジカルシステム(CPS)保護ソリューションに慎重に投資すべき理由を説明します。
医療機関におけるサイバー脅威の背景
現代の医療機関では、患者情報の管理、看護サービス、医療検査、さらには外科手術の支援に至るまで、デジタル技術が活用されています。医療スタッフがITやOTシステムに依存することは一般的になっています。しかし、医療機関の日常業務に不可欠なこれらのITやOTシステムに対するサイバー攻撃は、患者サービスの質や救命能力に影響をおよぼす可能性があります。たとえば、ランサムウェア攻撃を受けた病院は、電子カルテ(EHR)システムにアクセスできなくなる、救急車の出動が妨げられる、医療検査結果の提供が遅延する、そして最も深刻な場合には、手術支援機器が機能停止するなどの問題に直面する可能性があるのです。
米国の Cyber Threat Intelligence Integration Center(CTIIC)が発表した2023年のレポート(※1)によると、2023年に世界中の医療業界を標的としたランサムウェア攻撃は、2022年と比較してほぼ2倍になり、米国の医療業界における攻撃は128%増加しました。2024年の脅威の状況も同様の傾向が続くと思われます。
- 2024年2月、UnitedHealthグループの子会社であるChange Healthcare社がランサムウェア攻撃を受け、米国最大の医療決済システムが機能不全に陥りました。この事件では、医療保険と医薬品の決済業務が妨害され、病院に深刻なキャッシュフロー停滞のプレッシャーがかかり、患者の医療機関利用を脅かすことになりました。また、個人の健康情報や身分情報が漏洩する危険性もありました。
- 2024年5月、米国の大手民間医療法人であるAscension社が、ランサムウェア攻撃により診療録と発注システムが妨害されたと報じられました。従業員は手作業による紙の記録プロセスに戻らざるを得なくなり、正確性と業務効率に大きな影響が出ました。
- 2024年6月、南アフリカの国立衛生研究所(NHLS:National Health Laboratory Service)がランサムウェア攻撃を受け、研究所情報システムと他の医療データベース間の通信が事実上遮断され、公衆衛生施設の検査に遅れが生じました。
医療機関におけるサイバーセキュリティの確保は、患者の安全を守るために極めて重要です。医療業界に対するサイバー脅威は深刻に受け止めなければならず、HHS(米国保健福祉省)とHPH(医療公衆衛生)業界が共同で取り組む必要があります。攻撃者は、病院のITだけでなくOTシステムも標的にしているため、ITと医療データの保護に焦点を当て始めたばかりの多くの病院にとってこれは盲点かもしれません。そのため、標的型サイバー攻撃や偶発的なマルウェア感染の入り口となり得る重大なセキュリティ上の脆弱性が残されています。
医療業界で運用制御技術(OT)が直面する新たな脅威シナリオ
多くの病院の運用制御技術(OT)システムは、このようなサイバー攻撃に対して驚くほど脆弱です。さらに、攻撃者の幅も、ランサムウェア犯罪者からテロリスト、さらには敵対国にまで広がっており、そのすべてがこのようなサイバー攻撃を計画している可能性があります。新型コロナウイルス感染症(COVID-19)パンデミック以降、医療機関の重要性が高まったことで、病院の機能が麻痺すると社会にパニックを引き起こすことがあることがわかりました。さらに、医療施設の混乱は、病院に莫大な運営上のプレッシャーがかかります。
2015年、米国議会は、民間企業と政府間の自主的な情報共有を通じてサイバーセキュリティを強化するために、2015年サイバーセキュリティ法(CSA)を可決しました。この法律の第405(d)項では、医療業界のセキュリティ対策を調整し、サイバー脅威から保護するためのベストプラクティスと規格の開発と採用を奨励しています。医療業界のサイバーセキュリティ対策(HICP)は、現在のサイバーセキュリティの脅威を次の5つに分類しています。
- ソーシャルエンジニアリング攻撃
- ランサムウェア攻撃
- 機器またはデータの紛失や盗難
- 内部関係者による偶発的または意図的なデータ損失
- 患者の安全に影響をおよぼす可能性のある、ネットワークに接続された医療機器に対する攻撃
新しいタイプのOT/ICSマルウェア攻撃
病院の空調システムがランサムウェア攻撃を受ける状況を想像してみてください。この状況がどれほど悲惨なものであっても、多くの医療機関の最高情報セキュリティ責任者は、IT資産のみに責任を負い、空調システムなどのOT資産には責任を負いません。そのため、OTシステムが弱点になるのです。攻撃者は、混乱を引き起こす可能性のあるものは何でも「価値があるもの」と見なします。インフルエンザウイルスに感染したほとんどの人が発病するのと同じように、どんな資産もサイバー攻撃の影響を受ける可能性があります。ウイルスによって引き起こされる被害の程度は、人の脆弱性によって異なります。同様に、サイバー脅威の影響は、感染したITシステムだけでなく、システムの脆弱性にも依存します。
最近のサイバーセキュリティ関連のメディア報道によると、Fuxnetと呼ばれる新しいタイプの破壊的なICSマルウェアが発見されました。攻撃者は、Stuxnetと同様にFuxnetを使用して、産業用センサーを無効化し、複数の部門の業務を妨害します。このマルウェアは、主にIoTゲートウェイデバイス を標的にしています。攻撃者はまず、デバイスのルートパスワードを取得し、SSHを使用してそれらに接続し、内部システムに入り込み、最終的に完全なアクセス権を取得します。最後に、マルウェアを使用して、ランダムなデータを独自のセンサーネットワーク通信プロトコルに送信し、通信チャネルを過負荷にして、効果的にIoTセンサーを無効にします。
この脅威は、今日の空調、水処理、さらにはエネルギー管理システムでさえも同様のアーキテクチャを採用している可能性があるため、OT/ICS環境を保護することは間違いなく重要であることがわかります。攻撃者がIoT機器の脆弱性を悪用した場合、医療機関にとって深刻なリスクをもたらすことになります。
古い脆弱性の悪用
脆弱性とは、脅威にさらされたときに害を引き起こし、最終的には何らかの損失につながる可能性のある弱点のことです。脅威は脆弱性を悪用します。たとえば、ほとんどの人は、高齢者は若いアスリートよりもインフルエンザにかかりやすいと考えています。この脆弱性の増加は、免疫系の老化、身体の虚弱、あるいは認知機能の低下により処方された治療計画に従うことができないことなどが原因となっています。今日の病院のデジタルインフラ(ITシステムとOTシステムを含む)は、接続された機器の数が多いことや、耐用年数(EOL)を迎えた機器の存在により、管理上の課題に直面しています。
医療現場に時代遅れのシステムがあることは、認知されている問題です。しかし、サイバーセキュリティ担当者やリソースの不足、さらにテストやパッチ適用に必要な機器のダウンタイムに対する許容度の低さにより、課題はさらに複雑になっています。たとえば、医療サイバーセキュリティチームが大規模にパッチを展開するには1年以上かかる場合があります。さらに、高齢患者が使用するレガシー機器は、潜在的な被害を生む脆弱性を増大させる可能性があります。
ゼロデイ脆弱性攻撃
攻撃者は、医療機関で一般的に使用されている製品を標的にし、所有者、開発者、または修正可能な人が知らないソフトウェアの脆弱性を悪用する可能性があります。これは特に破壊的なサプライチェーン攻撃と言えます。ゼロデイ脆弱性の情報が攻撃者の手に渡ってしまうと、標的システムのネットワークにアクセスし、ランサムウェアを展開できてしまいます。
2024年6月28日、米国保健福祉省のサイバーセキュリティ調整センターは、HPH(医療公衆衛生)業界に対し、MOVEit Transferアプリケーションに深刻な脆弱性があるというセキュリティ警告を発令しました。この脆弱性は、2023年に医療機関でサイバーセキュリティインシデント、特にランサムウェアやデータ侵害が急増した主な原因でした。MOVEit Transferアプリケーションは、世界中のサーバー上で実行することも、MOVEit CloudがホストするSaaS(Software as a Service)バージョンとして実行することもできます。深刻な脆弱性CVE-2023-34362は、MOVEit TransferウェブアプリケーションのSQLi-to-RCE(リモートコード実行SQLインジェクション)の欠陥に関連しており、認証されていないユーザーがMOVEitサーバー環境に対して、不正なリモートアクセス権を取得できるようになります。
サプライチェーン攻撃
サプライチェーン攻撃とは、攻撃者がサードパーティのエンティティ(組織や施設)を標的にして、標的組織に間接的なアクセスを行う攻撃です。病院のソフトウェアサプライヤなど、さまざまなサードパーティに侵入してマルウェアを拡散することでこれを実現します。たとえば、攻撃者は偽の更新プログラムの送信や、サプライヤの侵害されたシステムを使用したフィッシング攻撃を行うことがあり、これらが医療機関でのマルウェア感染につながります。
2021年12月のSolarWinds社へのハッキングは、財務省、エネルギー省、国土安全保障省、司法省、国家安全保障局などの米国政府機関に最も広範囲に深刻な被害をもたらしました。同社への攻撃は、サプライチェーン攻撃の深刻さを象徴しています。ハッカーはまず、標的組織が使用するソフトウェアを分析し、サイバーセキュリティが弱いサプライヤを特定して、そのソフトウェアアップデート配信インフラに侵入し、最新のソフトウェアバージョンにマルウェアを埋め込み、ソフトウェア・アップデート・メカニズムを介して標的組織に配信を行いました。
サプライチェーンの単一の脆弱点は、攻撃者が引き続き悪用します。特に、OTインフラに対応する大規模で複雑なシステムがある場合は、それが明確です。サードパーティ製品には複数のサプライチェーンが含まれていることが多いため、サプライチェーンが長くなればなるほど、セキュリティチームが弱点を補強することは難しくなります。
防御の最新化:新しいアーキテクチャとツール
2017年、米国保健福祉省(HHS)は、サイバーセキュリティ、プライバシー、医療、IT、その他の分野の専門家で構成される405(d)タスクフォースを設立しました。このタスクフォースは、任意の「医療業界のサイバーセキュリティ対策:脅威の管理と患者の保護」(HICP)プログラムを策定する責任を負っています。このプログラムは、費用対効果の高いセキュリティガイドラインを提供し、さまざまな規模の医療機関がこれらのガイドラインを実施できるように支援するものです。特に、サイバーセキュリティ実装の実現可能性と実用性を重視しています。技術編では、中小規模および大規模組織向けに調整した次の10の対策について説明しています。
- 電子メール保護システム
- エンドポイント保護システム
- アクセス管理
- データ保護と損失防止
- 資産管理
- ネットワーク管理
- 脆弱性管理
- インシデント対応
- 医療機器セキュリティ
- サイバーセキュリティポリシー
HICPにおけるOT/ICSセキュリティの強化
上記の防御策に加えて、病院の運営を中断させず、医療機器の安全性と可用性を確保するために、OTゼロトラストアーキテクチャは、プロアクティブでスケーラブル、かつ同期が取れたセキュリティアップデート防御フレームワークを備えています。重要なことは、セキュリティツールが、潜在的な脆弱性をインベントリ化して評価し、一般的な機器を備えたあらゆる病院環境に適応できることです。これらのツールは、病院の人件費を削減し、脆弱なOT機器を保護し、スタッフが患者ケアに集中できるようなものでなければなりません。この防御対策には、次の4つの主要な領域があります。
- サードパーティのサイバーセキュリティ有効性の検証
- OT/ICS資産のネットワークリスク評価を定期的に実施することが不可欠です。これには、導入前の資産検査、変更内容のスキャン、定期的なリスク評価を行うことが含まれ、さらに、サードパーティに対しては、将来の機器調達の基準としてサプライチェーン契約に基づくセキュリティリスクの管理を求めなければなりません。
- セキュアな通信のためのIPSシステムの導入
- 独自のOT IPS技術を使用してネットワーク通信を管理し、不要な活動をフィルタリングして、ITシステムとOTシステム間の必須かつセキュアな通信のみを確保します。仮想パッチ技術を使用して脆弱性の悪用をブロックし、堅牢なネットワーク防御を維持します。
- CPSによる保護対策を検知と対応に拡大:
- OTファイアウォールが機能しない場合に悪意のある活動を検知するために、CPSセキュリティソリューションを導入します。動作ベースラインに基づいて不要な機能を無効にすることで、CPSの検知と対応機能を強化します。
- 包括的な資産の可視化
- OT資産を完全に可視化し、シャドー資産の課題に対処します。CPSセキュリティ管理プラットフォームを使用してOTライフサイクル管理を行い、データと独自の評価アルゴリズムを活用して脆弱性に優先順位を付け、脅威への対応を迅速化して、すべての資産が効果的に監視および管理されるようにします。
まとめ
サイバー脅威が進化する中、医療機関は常に警戒を怠らず、サイバーセキュリティ対策を積極的に強化しなければなりません。継続的な協力、サイバーセキュリティ対策の改善、最新の防御ツールの採用は、患者の安全を守り、医療システムの完全性を維持するために不可欠です。HHS 405(d)プログラムと多層防御戦略の採用は、セキュアでレジリエントな医療環境を実現するための重要なステップです。
しかし、医療機関におけるOT資産の保護はまだ初期段階にあります。国家から支援を受けた攻撃者が医療OTシステムを標的にし、マルウェア開発が進化し、OT機器の脆弱性が露呈するにつれて、医療OTはサイバー攻撃に対してさらに脆弱になります。サイバーセキュリティは、ITだけの問題ではなく、組織全体の問題です。患者のケアには多様な専門分野のチームが必要であるのと同様に、医療デジタルシステムのセキュリティを確保するには、包括的で多面的なITおよびOTのサイバーセキュリティが必要となります。サイバーセキュリティは、CPS保護技術、OTネットワーク防御、資産の脅威検査や脆弱性管理など、患者の健康のために網羅できるよう拡大されなければならず、それが医療デジタルシステムにおける中断のない正確な患者ケアを実現します。
TXOneにまずお気軽にご相談ください。
医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
参考文献
(※1)Ransomware Attacks Surge in 2023; Attacks on Healthcare Sector Nearly Double