病院のセキュリティ問題。
サイバー攻撃による悪夢をランキング付けするとしたら、医療関係がトップにくるでしょう。死因や病気の情報が漏れるのも恐ろしいですが、何より怖いのは医療機器がハッキングにより操作され、殺人が起きてしまうのではということです。現代社会の最大の不安要素の1つ言えるのでは。
MIT Technology Reviewは、2015年を「病院ハッキングの年」になると宣言していましたが、フタを開けてみれば2015年は前哨戦に過ぎませんでした。2016こそ業界にとっての悪夢。ランサムウェアにより病院記録や支払システムが攻撃をうけており、すでに病院のサイバーセキュリティは大惨事状態にあります。
カナダのオタワ病院は、3月上旬、4台のパソコンがランサムウェア攻撃をうけました。2月には、LAにあるHollywood Presbyterian医療センターがマルウェア被害にあい、患者のデータにアクセスできず、ハッカーに1万7,000ドルのビットコインを支払うという事件が起きました。
ケンタッキー州のメソジスト病院でも、ランサムウェア攻撃により患者のデータにアクセスできず、ハッカーから金銭を要求されるケースがありました。(病院側が要求に応じたかどうかは明らかにされておらず)
3月下旬には、アメリカ首都であるワシントンD.C.エリアの医療グループ、MedStar Washingtonが感染したコンピューターウィルスについて、ついにFBIが調査に乗り出しました。このウィルス攻撃により、MedStarのオンライン業務が影響をうけ、オフライン化を余儀なくされました。The Chicago Tribuneは、本件で病院側が紙の記録しか使えず、作業が著しくスピードダウンしており、病院スタッフが残業対応していることを報じました。MedStarの担当者An Nickels氏は、これがランサムウェア攻撃によるものかどうかについてはコメントしていません。
「ランサムウェア攻撃において、病院は別カテゴリにある。病院の持つデータは非常に機密性が高いだけでなく、人の命に関わるきわどいものだ」
医療データについて、こう語るのは、米Gizmodoの取材に応じたセキュリティ会社MalwarebytesのJérôme Segura研究員。現在、ほとんどの病院では情報がデジタル化されており、患者を診断、治療するために、医師はそれらのデータにアクセスする必要があります。Segura研究員は、「手術の最中に、それらの医療記録にアクセスできないとなれば、それがどれだけ大事か誰でも想像できるだろう」と、セキュリティ問題の深刻さを訴えています。
事の大きさは、ますます誰でも容易に想像できるようになりますよ。だって、そんな問題がどんどん起きているんですもん。
Twitterユーザー@SteveBellovinさんが、ある病院でみた張り紙。Seen in my doctor's office: pic.twitter.com/LhXkjKvhQd
— Steven Bellovin (@SteveBellovin) March 23, 2016
「あなたのプライバシーは守られています。デジタル医療記録は使っていません」
医療機関が、インターネット接続された医療機器、周辺機器を導入したことで、新たな犯罪の扉を開けてしまったと言えます。セキュリティ会社のKaspersky Labは、「How I Hacked a Hospital(私はどうやって病院をハッキングしたか)」というタイトルのレポートを3月に発表しました。レポートによれば、ハッキングの手順はこうです。
Kaspersky Labのチーム曰く「簡単なコミュニケーションプロトコル」を介して、まずは病院のWi-Fiシステムにアクセス。Shodanというネット接続端末を探す検索エンジンを使い、どの端末がセキュリティが甘いかをチェック。その結果、Shodanの表示したいくつかの端末にアクセスできたわけですが、なんとパスワードの入力すら必要ないものがあったというのです。…ちーん。
また、犯罪者によってハイジャックされかねない医療機器(MRIスキャナや手術用端末含む)の脆弱性も、ハックチームによって明らかになりました。つまり、医療端末そのもの、または患者の体に物理的に危害を加えられる可能性があったということになります。
おなじくセキュリティを手がけるIndependent Security Evaluatorsも、メリーランド州バルティモア周辺の病院と、2年強を費やしてハッキング攻撃に対する脆弱性を調べました。The Baltimore Sunがその調査を報じており、ハックチームは、薬の配達や血液検査申請をトラッキングするコンピューターシステムを、病院ロビーからのっとることができたといいます。除細動器の動きを止めたり、レントゲン撮影機を操り患者だけでなくその周囲にいる人間をも高い放射線に晒すことができる状態だったとも報じられました。
このような脆弱性の問題の多くは、お金、が原因にあると前述のSegura研究員は解説します。IT面アップデート用の資金捻出に苦労している病院もあるといいます。古いシステムと、きちんとトレーニングされていないスタッフのコンビネーションによって、病院が自らランサムウェア攻撃の扉をあけてしまっているのです。
ジョンズ・ホプキンス大学のコンピュータサイエンス教授Avi Rubin氏は、医療機関でのセキュリティ事情を調査し、スタッフのトレーニング不足の現状を明らかにしました。Fast Companyのインタビューで、教授がセキュリティリスクを高める行動例をあげています。
「病院の放射線医学部では、医師がオフィスにいないとき、ログイン状態をキープするために看護師が代わりに医師のパスワードをターミナルに何度も打ち込んでいる姿を目にした。また、子どもがゲームなどで遊ぶのと同じコンピューターからシステムのプラベートネットワークにアクセスするスタッフの姿も見た。これは、非常に大きなセキュリティリスクである」
言ってしまえば、病院のスタッフがサイバーセキュリティに疎いわけではなく、一般の人と同レベルだという話なのです。ただ、彼らは一般の人よりもより多くのもの、情報や装置が接続された環境で仕事をしているわけで、ミスが起きたときに、一般の人よりも大きな問題が起るのが怖いのです。病院のシステムは、ハッカーたちにとって恰好のターゲットであり、攻撃の増加は、いかにアメリカの医療機関が準備不足であるかを示しています。
攻撃から身を守るためには、医療機関は幾層にもなったセキュリティアプローチをとるべきでしょう。ソフトウェアをアップデート、パッチするのはもちろんのこと、Segura研究員は、プロアクティブなセキュリティソフトを使うのをすすめています。ここでいうプロアクティブなソフトとは、攻撃をうける前から、怪しい動きを自動で感知できるシステムのこと。また、ランサムウェア攻撃にどのように対処するべきか、スタッフにも教育を徹底する必要があります。
前述のIndependent Security Evaluatorsの調査を指揮したTed Harringon研究員は、医療機関は患者の安全を守るため、考え方をあらためる必要があると考えています。患者のデータを守ることに重きをおいている現状から、患者の命そのものを守ることを考えなければいけないと訴えます。医療機関における最優先セキュリティミッション=患者の命と、考えを正す必要があるのです。本当に怖いのは、患者の情報漏洩ではなく、医療機器ハッキングによって患者自身に危害を加えられることなのです。
さらに、Harringon研究員は、サイバー総攻撃をうけているにも関わらず、病院側はまだ自身の脆弱性に気づけていないとも指摘しています。調査によって、いかに医療機関が人材、資金、トレーニング、ネットワークの認識が不十分であるかが明らかになりました。自分の現状=不十分さ、それを認識することが、今後の対策における第1歩であると、Harringon研究員は呼びかけています。
繰り返します。サイバー攻撃から病院がまず守るべきものは、患者データではありません。患者の命そのものなのです。
image: phil41dean under Creative Commons license
source: MIT Technology Review, Washington Post (1, 2), Chicago Tribune, Kaspersky Lab, Baltimore Sun, Fast Company
Kate Knibbs - Gizmodo US[原文]
(そうこ)
