いまハッカーが最も狙っているのは病院?

いまハッカーが最も狙っているのは病院? 1

日本は大丈夫なの?

このところ米国内では、病院などから重要機密情報が漏えいする事件が相次いでいるんだそうですね。最も有名なものとしては、Community Health Systems(CHS)がデータ管理を手がけている200以上の病院から患者のカルテを始めとする重要個人情報が盗み出され、450万人もの患者が被害に遭ったとされています。

どうやらハッカーは、とりわけ病院をターゲットに定める傾向を強めてもいるようで、セキュリティ調査会社のWebsenseによれば、病院を狙ったサイバー攻撃の件数は過去10か月間で600%増を記録したとの警告まで発しています。おまけに病院が狙われている理由が衝撃的なんですよね…。

1. 病院のセキュリティレベルは低い

人には言えない身体の悩みだって、信頼している医者になら打ち明けられると、頼りになる存在である病院ですが、実は多くのハッカーが、病院にサイバー攻撃を仕掛けて重要極まりない情報を盗み出す行為こそが、他の企業や政府機関、軍事施設などを狙うよりも、よっぽどたやすいことだと気づき始めているんだとか。

例えば、冒頭で取り上げたCHSへのサイバー攻撃ですが、その機密情報の流出経路は、おおよその見当がついているそうなんです。Websenseのセキュリティ調査部門シニアマネジャーのCarl Leonard氏は、情報漏えいの直接原因として、OpenSSLの暗号化ソフトウェアに存在する「Heartbleed」として知られる脆弱性を突いたものだった可能性が高いと語っています。Heartbleedの脆弱性を狙ってシステムへの侵入に成功すれば、メモリに残された重要機密情報を遠隔操作で盗み出せることが判明したとされています。

ただこのHeartbleedをめぐる脆弱性の存在は2年以上前から一部で突き止められており、4月に存在が公表されてからはセキュリティパッチなども配布されているのですが、いまだに対策を講じていない医療機関すら少なからずあるとも指摘されているんです。多くの患者の電子カルテを始めとするプライヴェートな個人情報を大量にあずかる医療機関なのですが、こうした技術的な対応は遅れがちというところも多いようで、ここがハッカーの狙い目なんだそうです。

なお、こうした医療機関のガードの甘さを憂慮する声が高まりつつもあり、ハーヴァード大学医学部の最高情報責任者(CIO)のJohn Halamka氏は「ヘルスケア業界はサイバーセキュリティ分野への投資を怠ってきた」と警鐘を鳴らしています。本来ならば、病院のシステム管理には必ず特別にセキュリティの専門家を入れるくらいの対応を、どこの医療機関でも早急に進めていくべきなんでしょうね。

2. 病院が保有する情報価値は高い

もしもハッカーが病院のシステムへと侵入し、うまく患者の個人情報を続々と盗めた場合、そのデータを闇市場に流して得られる取引き金額の大きさは想像を上回るものがあります。なんといっても患者の弱みを握り、そこを突いて関係各者を脅迫することによって騙し取れるものも含めて、まんまとハッカーが盗み出せた重要機密情報をもとに手にすることができる裏金は、他の企業や施設を狙って稼げる額とは比べ物になりませんから。

さらに、医療機関からせしめることができる情報は、なにも一般患者の電子カルテデータのみではありません。新たな医療機器や新薬にまつわる機密を探り出したり、院内トップのメールのやり取りから判明する秘密の入手などなど、過去にはハッカーが狙った情報を中国へと引き渡すルートの存在まで指摘されたこともあったようです。

どの病院の、どこのシステムを狙えば、どのような非常に高額で取引き可能となる宝のような情報が埋まっているのか? まずはそれを知るべく、ハッカーは一年余もの時間をかけて徹底的に調べ上げてから、いざ医療機関へのサイバー攻撃を実行へと移しているケースが少なくないことも明らかになってきているそうです。

患者側が個人で身を守るためにできる予防策は限られているだけに、ここはもっと病院側に徹底した早急なるセキュリティ対策を望みたいところですよね。

image by Shutterstock

source: Tech Review

Adam Clark Estes - Gizmodo US[原文

(湯木進悟)