ブログ

病院におけるランサムウェア被害とは?被害事例、感染経路やセキュリティ対策を解説!

2024/06/21 ブログ

病院におけるランサムウェア被害とは何か気になっている方も多いと思います。

 

ランサムウェア被害の感染経路や原因、それに対する対策はあるのでしょうか。

 

今回は、病院におけるランサムウェア被害について解説します。また、被害が発生した際の対処法と未然に防ぐためのセキュリティ対策も5つずつまとめてみました。

 

これを読めば、ランサムウェア被害の感染経路や原因、発生した際の対応の仕方について知ることができます。

 

先に結論を言うと、ランサムウェア被害は、オペレーションシステム、アプリケーション、セキュリティソフトウェアを常に最新の状態に保つことが重要です。脆弱性を悪用されるリスクを減らすことができます。

 

病院におけるランサムウェア被害とは?

ランサムウェアとは「身代金」を要求するための不正なプログラムです。ランサムウェアに感染することで病院はコンピュータ内にある患者のデータなどの個人情報を盗まれ、業務停止などの被害を被る場合があります。

 

では、病院におけるランサムウェア被害について詳しく解説します。

 

ランサムウェアとは?

 

ランサムウェア(Ransomware)とは、PCやサーバーなどのコンピュータ内に保存されている重要なデータを暗号化により人質とし、復旧する代わりに身代金(ランサム)を要求するソフトウェアのことです。

 

コンピュータに危害を加える目的として作られた悪意のあるソフトウェアはマルウェアと呼ばれ、ランサムウェアはマルウェアの一種と言えます。

 

病院がランサムウェアに感染してしまった場合、患者の個人情報が記載された電子カルテにアクセスできなくなり、診療の中止や手術の中止など業務が停滞する恐れがあります。

 

ランサムウェアの種類

 

ランサムウェアの種類には、「二重脅迫」と「人手によるランサムウェア攻撃」の2種類があります。

 

二重脅迫とは、データ復旧のために身代金を要求するだけでなく、身代金を払わなければ盗んだデータをネット上に公開するなどと脅迫するものです。

 

人手によるランサムウェア攻撃とは、攻撃者によってコントロールされたランサムウェアが組織内のネットワークを探索して重要なサーバーを管理下に置き、一斉に組織内のサーバーや端末にランサムウェアを感染させる手口です。

 

いずれも外部からのインターネットを介してリモート接続する時に使用する一部VPN機器を利用したり、RDPの認証を突破したりしてランサムウェアによるサイバー攻撃が行われます。

 

ランサムウェア被害の事例

ランサムウェア被害と聞いても、一体何が原因でどのような被害を受けたのかピンと来ない方も多いと思います。これまで、日本国内で発生したランサムウェア被害によるサイバー攻撃の事例を3つ紹介します。

 

では、ランサムウェア被害の事例について、具体的に見ていきましょう。

 

奈良県の市立病院

 

1つ目の被害例は、2018年10月奈良県の市立病院です。電子カルテシステムがウイルスに感染して利用できなくなり、復旧まで紙カルテの運用を余儀なくされました。

 

原因は、職員が私物のPCでネットワーク機器に接続したためと報告されています。2日後に電子カルテシステムは復旧しましたが、暗号化された診療記録は参照できない状態だったことから、該当の患者には説明を余儀なくされました。

 

また、データが閲覧できない関係で診療報酬請求が遅れ、対象者に影響が出ました。

 

徳島県の公立病院

 

2つ目の被害例は、2021年10月徳島県の公立病院です。ロシアが拠点のハッカー犯罪集団LockBit(ロックビット)によりランサムウェア被害に遭いました。

 

感染経路は、VPNで漏洩した管理者情報を悪用された可能性が高いと公表しています。病院内の十数台のプリンタから英文の犯行声明が出力され、8万5千人の電子カルテや院内のLANが使用不可能になりました。

 

また、会計システムも利用不可能になり、システムが復旧するまでの診察料は後日請求という対応になりました。

 

大阪府の医療センター

 

3つ目の被害例は、2022年10月大阪府の医療センターです。電子カルテシステムの不具合が発生し、保守事業者が調査を行ったところ「全てのファイルは暗号化された」「復元したければビットコインで身代金を払え」などと言った脅迫文が見つかりました。

 

感染経路は、給食委託事業者のVPN装置とされています。このランサムウェア被害により、外来診療やその他の検査が停止しました。

 

また、バックアップデータを元に簡易復旧を行ったものの、完全な復旧までに2ヶ月を要したとの報告がありました。

 

ランサムウェアの感染経路

ランサムウェアの感染経路は主に3つあります。コンピュータ内に保存されているデータを盗むため、内部からの感染によるものです。また、不審なメールの開封、ウェブサイトからのファイルのダウンロード、外部サービスの利用なども感染経路となっています。

 

では、ランサムウェアの感染経路について詳しく解説します。

 

ルータによる感染

 

外部サービスにシステムを接続するために必要なルータから感染する場合があります。リモートデスクトップサービスなどのポートが公開されている場合に、ランサムウェアの設置がしやすく標的になりやすいからです。

 

特に、脆弱性が公開され、既知となっているルータなどに対しては、集中的な攻撃が行われる可能性が高いです。そのため、電子データを取り扱うコンピュータは可能な限り外部インターネットとの接続を遮断するのが望ましいです。

 

また、その際は施設外のネットワークに存在するサーバーにバックアップを取るなどしておくと良いでしょう。

 

電子メールによる感染

 

電子メールに添付されているファイルの開封やリンクをクリックすることで感染する場合があります。身近なパートナー企業や取引先にメールの送り主を偽装し、マルウェアやウイルスが含まれたURLや添付ファイルを開かせるよう、巧みに誘導してきます。

 

その場合は、電子カルテの作成や閲覧に用いるコンピュータでメールの送受信をできない状態にしておきましょう。そのようにすれば、悪意のある電子メールに添付されているファイルの開封やリンクのクリックによるランサムウェアの感染を防ぐことができます。

 

USBメモリなどの媒体による内部感染

 

USBメモリなどを不用意に、施設内のネットワークに存在する端末へ接続することで感染する場合があります。また、これにより他の端末に感染を拡大させてしまう恐れもあります。

 

コンピュータにはリムーバブルメディアや情報機器に接続しただけで、自動的に指定された処理が実行される機能を備えているものもあります。そのため、クリニック内の電子カルテシステムに関連するコンピュータにはウイルス対策ソフトの導入が必要不可欠です。

 

また、導入しておくだけなく、定期的にウイルス対策ソフトの更新を行うことも非常に重要なセキュリティ対策です。

 

ランサムウェア被害が発生した際の対処法

ランサムウェア被害が発生した際は、感染したコンピュータやサーバを即座にネットワークから切断したり、感染が確認されたシステムを隔離することで、他のシステムやデバイスへの感染拡大を防ぎます。

 

では、ランサムウェア被害が発生した際の対処法について、具体的に見ていきましょう。

 

ネットワークを遮断する

 

1つ目の対処法は、ネットワークを遮断することです。ウイルス感染の兆候があった場合、ネットワークを遮断して、他の端末に感染が拡大しないようにするためです。

 

有線LANの場合はケーブルを抜き、無線LANの場合はWi-Fiをオフにするなどネットワークからの感染端末を遮断します。異常を検知した際には、ファイルの暗号化やPCのロックなどがされていないか確認しましょう。

 

データを復元する

 

2つ目の対処法は、データを復元することです。バックアップすることで侵入しているランサムウェアもろとも削除できます。データのバックアップがある場合はPCを初期化します。

 

ただし、PCのデータが全て削除されることはもちろん、ランサムウェアの感染経路も削除されてしまうので、感染した状況や調査ができなくなります。そのため、自力で対応せず、専門家による調査を依頼するのが安心です。

 

医療情報システム安全管理責任者へ連絡する

 

3つ目の対処法は、医療情報システム安全管理責任者へ連絡することです。ランサムウェアの感染経路や原因などを調査してもらいます。その際には、ウイルス感染の発生日や異常内容を報告します。

 

医療情報システム安全管理責任者は、ウイルス感染時の状況を専門的でかつ技術的な相談ができるので、適切な対応を取るためにも利用しましょう。

 

ランサムウェアの種類を特定する

 

4つ目の対処法は、ランサムウェアの種類を特定することです。種類の特定には、ランサムウェアに関する情報を提供している「No More Ransom」や「ID Ransomware」などを活用するのがおすすめです。

 

これらのツールでは、「暗号化されたファイル」や「身代金要求ファイル」をアップロードすることでランサムウェアの種類の特定が可能です。

 

システムベンダーへ依頼する

 

5つ目の対処法は、システムベンダーへ依頼することです。ランサムウェアにより停止したシステムを復旧します。医療情報システムや機器が正常に稼働できることが確認できたら、システムを利用する関係者に連絡します。

 

もし、システムの復旧に時間がかかる場合は紙によるカルテなどの運用を検討するのも1つの対策です。

 

ランサムウェア被害を未然に防ぐためのセキュリティ対策

ランサムウェア被害を最小限に抑えるためには、電子機器を最新の状態に保つことや被害に伴う保険の加入などがあります。日頃から被害を想定して、事前にセキュリティ対策を行うことが非常に重要です。

 

では、ランサムウェア被害を未然に防ぐためのセキュリティ対策について、具体的に見ていきましょう。

 

OSやソフトを最新の状態にアップデートしておく

 

1つ目の対策は、OSやソフトを最新の状態にアップデートしておくことです。アップデートを行い常に最新の状態にしておけば、後発の攻撃手法やウイルスにも対応できます。ほとんどのアップデートには、セキュリティの脆弱性修正が含まれており、攻撃者の突破口を狭める助けとなります。

 

また、同様にWEBブラウザやプラグインも最新の状態に保つことが大切です。

 

バックアップシステムの運用

 

2つ目の対策は、バックアップシステムの運用を行うことです。バックアップを取ることでデータが暗号化されてしまってもバックアップからデータを復元できます。

 

バックアップデータは、厳重に保護しておき適切な世代管理(最新データの他にそれ以前のデータも保存する)を行います。ランサムウェア感染に備えてデータをバックアップしておきましょう。

 

ウイルス対策ソフトを利用する

 

3つ目の対策は、ウイルス対策ソフトを利用することです。ウイルス対策ソフトには「アンチウイルスソフト」「バックアップソフト」「ファイアウォール」などの種類があり、これらは入口・内部・出口それぞれのセキュリティを補完する役割を果たします。

 

信頼性の高いウイルス対策ソフトを導入して、大切なコンピュータとデータを保護しましょう。

 

サイバー保険の加入

 

4つ目の対策は、サイバー保険に加入することです。サイバー保険に加入することで、第三者に対する損害賠償責任や復旧や対策に必要な費用を補償してもらえます。完全にサイバー被害を防ぐことはできませんが、損害を最小限に抑えることが期待できます。

 

ランサムウェア感染時の被害を抑えるためにもサイバー保険に加入することをおすすめします。

 

SOC(セキュリティオペレーションセンター)などの体制や相談先の確保

 

5つ目の対策は、SOC(セキュリティオペレーションセンター)などの体制や相談先の確保をしておくことです。専門家のアドバイスや支援を受けながら適切な対応をし、被害を最小限に抑えることが期待できます。

 

病院は患者の情報や秘匿性の高い情報などを取り扱っているため、サイバー攻撃を受けやすいです。そのため、サイバー攻撃の分析や対策を講じる専門組織などの相談先を確保しておきましょう。

 

まとめ

本記事では、ランサムウェア被害の感染経路や原因、発生した際の対応の仕方についてご紹介してきました。

 

近年、国内の病院で患者の情報やデータなどを人質とし、身代金を要求するランサムウェア被害が発生しているのが事実です。電子機器のアップデートやウイルス対策ソフトの導入、サイバー攻撃に備えた保険の加入や専門家への相談など、被害を最小限に抑えるためにも万全な対策をしていただきたいです。

 

 

 

ランサムウェア被害などのサイバー攻撃から情報漏洩を防ぐため、インフォシールド合同会社では、サイバーセキュリティに関するサービスの見積もりやサービス提供を行っております。

詳細はこちらからご確認ください