ランサムウェア攻撃対象のトップに医療関連組織

This post is also available in: English (英語) 繁體中文 (繁体中国語)

「2021 Unit 42 ランサムウェア脅威レポート」によると、2020年にランサムウェアにもっとも狙われた業種は医療分野でした。同レポートでは「ランサムウェアオペレータは新型コロナウイルス感染症患者の急増に医療機関が大きなプレッシャーを受けている状況を知ってそこを突いてきている」と説明しています。要するに、「医療分野はシステムをロックアウトされるとどうにもならない、だからきっと身代金を支払うだろう」と見込んでいるのです。2021年5月にはFBIが「最近アイルランドの医療システムをダウンさせたContiランサムウェアグループは、前年も米国内の少なくとも16の医療機関やファーストレスポンダのネットワークを攻撃していた」とする警告を公開しました。

調査会社のComparitechは、2020年に米国の医療分野で発生した92件以上の個別ランサムウェア攻撃を追跡しました。同社によれば、ランサムウェア攻撃は前年比で60％増加していたそうです。それらの攻撃では、1,800万件以上の患者の記録を含む600以上の診療所・病院・組織が影響を受けていました。また攻撃にかかった対応コストは約210億ドルに達すると推定されています。私たちは、脅威アクターがいくつかの要因に基づいて医療機関を標的にしているものと考えています。

• 組織が維持管理するデータの価値は高いか: 多くの脅威アクターは金銭報酬を主たる動機としています。このため、現金化できる貴重な財務資産やデータ資産を持つ組織を標的とします。医療機関は、連絡先、社会保障番号、支払用のカードデータ、機微な健康情報、医療保険情報などの非常に幅広い患者情報を集めています。また、多くの医療機関は業務で研究も行っているので、それも貴重なデータの宝庫となっています。こうした状況がデータ窃取や内部不正、保険金詐欺を含む犯罪行為の好機を生んでいます。
• 外部から組織のセキュリティ態勢がどのような状況であると見られているか: ひとくちに「医療関連組織」といっても、その内容はさまざまです。機器メーカーもあれば、テクノロジ関連のサプライヤもありますし、医療サービス提供組織も含まれます。これらそれぞれが、独自のセキュリティ態勢をとっていますので、単純な一般化をしてはいけないのです。といっても、脅威アクターもそのような認識でいるとは限りません。医療分野は「スキルの高いIT人材やセキュリティ人材があまりいない」と考えられがちです。そして、分野全般にセキュリティ対策が甘いとみなされれば、それだけ攻撃を受ける可能性は高まります。
• 組織のセキュリティ態勢がどうなっているか: 当然、組織のセキュリティ態勢が脆弱ならそれだけ攻撃が成功しやすくなります。IT環境が複雑化するなか、医療機関を含め、多くの組織がセキュリティホールをすべて塞ぐのに苦労しています。今の脅威アクターは、オープンになっているポートやクラウドの設定ミスなどの脆弱性をスキャンすることに長けています。私たちUnit 42が対応のご依頼をいただくインシデントも、なんらかの脆弱性が放置されていたことに関連しています。
• 組織で業務の継続がどの程度重要視されているか: 脅威アクターは、「組織にとっての中核業務機能を維持するためにシステムが稼働しつづける必要性はどのくらい高いか」をもとに標的分野を選ぶ戦術を取ることがあります。医療機関は患者のケアを中断することができませんので、規模を問わず障害の発生が許されず、ネットワークスイッチなどのシステムが何年も修正プログラムの適用や再起動、適切なメンテナンスを見送られる状況に追い込まれていることがあります。バックアップから業務を復旧させるためのインシデントレスポンス（以降「IR」）計画がなければ、そのぶん組織は攻撃者に身代金を支払う必要性に迫られることでしょう。たとえIR計画やバックアップが整備されていたとしても、バックアップシステムにまで影響が出ていたり、復元すべきデータ量やシステム数が多すぎて現実的な時間内にバックアップシステムを処理しきれなければ、身代金を支払う必要に迫られる組織もでてきます。さらに、バックアップソリューション全体の品質はどうあれ、そのなかでたった1つでも、重要システムのなかに適切にバックアップされていなかったり最近バックアップが取れていなかったりしたものがあり、それがロックされたとしたら、やはり復号化キーの購入検討を余儀なくされるかもしれません。

医療機関に集中的に使われる戦術が存在する理由

以下では、先に述べた医療分野への脅威について評価し、これらの組織の防御態勢と、これらの組織を標的とする脅威アクターについてわかっていることを検討してみます。

まず、ランサムウェアは「企業は基幹システムの持続的稼働を必要としている」という状況を当て込んで攻撃してきます。EMR（電子化された医療記録）やPACS（画像伝送システム）などのアプリケーションは、病気や投薬などの重要情報を含む患者の記録にアクセスするために「24時間365日」の利用が見込まれており、最も重要なアプリケーションといえます。これらのアプリケーションにアクセスできなければ患者への対応に差し障るのです。ですが、業務継続が求められるのは医療分野に限られません。ランサムウェアは業務の継続が必須とされるほかの分野にも激しい攻撃を仕掛けています。

脅威アクターは金銭にまつわる不正行為を動機としています。彼らは、請求書発行プロセスを悪用し、メールアカウントを乗っ取って正当な役員やスタッフを装って支払いを承認し、自らの口座に資金を送金するというのが一般的です。医療機関では、高額な医療サービスやソリューション、テクノロジの請求書が頻繁にやり取りされていますので、サイバー犯罪者はそうした医療関連の組織を「組織や患者から金銭資産を窃取する金づる」と見ています。

最後に、インターネットに面したクラウドデータベースやインターネットアプリケーションに保存されている機微データを誤って公開してしまうなど、データの不用意な開示は、あらゆる業界に影響を与える可能性があります（し、実際そうなっています）。医療機関では、ビジネスニーズや医療革新に応じてクラウドコンピューティングやサードパーティソリューションの導入が増えています。すべてをアウトソースしたかのように思われがちですが、これらのソリューションやプロバイダは「組織側がセキュリティ管理や監視をしっかり行うこと」を求めています。ですので、たとえばCortex Xpanseを使って確認すると、「お客様側の持つデータ資産がお客様が把握されているより実際は30％以上多い」ということがたびたび発生します。環境の複雑さが増せば攻撃対象領域も広がります。脅威アクターは、攻撃のスキを常にうかがっていますし、医療機関はうってつけの標的ですから、そうしたスキを洗い出して対策をしておかなければ、彼らに見つかって悪用される可能性が高くなります。

医療機関が組織を守るためにやっておくべきこと

こうした脅威に対抗するためのベストプラクティスはたくさんあります。そのひとつに、機械学習機能を備えた次世代ファイアウォール（たとえばNGFW）や、XDR（Extended Detection and Response）プラットフォーム製品（たとえばCortex XDR）など、高度な機能を備えた製品を採用することがあげられます。

適切なバックアップやインシデント対応用のプロセスの実施に加え、さまざまな脅威から組織を守るために推奨される事項トップ10を以下にまとめますのでぜひ参考にしてください。

1. ゼロトラストアーキテクチャを導入して組織のデータ・資産・人を保護する
2. インターネットから接続可能なデバイスやアカウントにはすべて多要素認証（MFA）を導入する
3. デバイスやソフトウェアのインベントリを作成して常に更新する
4. ハードウェアデバイスやソフトウェアはセキュリティを重視した設定にする
5. 脆弱性を常に管理する
6. 管理者アカウントの使用を制限する
7. ノートPCやモバイル機器を暗号化する
8. 監査ログを維持して監視する
9. フィッシング・ソーシャルエンジニアリングの危険性についてユーザーへの教育を行う
10. バックアップはネットワークから分離してオフラインにする

結論

他の分野と比べて攻撃の標的にされやすい分野というものがあります。そうした分野での攻撃が成功すれば、そこからさらに攻撃の頻度は高まります。脅威アクターの標的選定戦略のひとつに、「金銭的報酬が得やすく、成功しやすい戦略がとれるか」ということが挙げられますが、この戦略をとった結果、医療機関はランサムウェアや ビジネスメール詐欺（BEC）、うっかりミスに関連した情報漏洩など、多くの攻撃にさらされています。

とくにランサムウェアは医療機関にとって最大の脅威です。ランサムウェアオペレータはデータ暗号化とその漏出を組み合わせた「二重恐喝」の戦術を使うことが多くなっているからです。「二重恐喝」で「データを公開するぞ」と脅されれば、迅速な復旧のための適切なバックアップやIRプロセスを実施している組織ですら、身代金の支払いに迫られかねません。

医療機関にとっては、エンドツーエンドのセキュリティニーズに確実に対応していくことが、根本的に重要というだけでなく、新型コロナウイルス感染症の拡大といった医療危機に際しては、必須となってきています。医療機関向けのサイバーインシデント対応と保護についてはこちらを参考にしてください。