データで紐解く、病院へのランサムウェア攻撃(2024年最新版)
(2024年最新版)日本国内で病院へのランサムウェア攻撃による診療停止が注目されています。医療業界に対するランサムウェア攻撃の傾向を、当社独自のデータに基づき紐解きます。
公開日:2022年11月4日
更新日:2024年6月12日
2024年5月20日、地方独立行政法人岡山県精神科医療センターは、サイバー攻撃による電子カルテシステムの不具合を公表しました。その後6月11日の発表で、ランサムウェアによるサイバー攻撃によって、患者情報など最大約4万人分が流出した可能性があるとしました。本件の攻撃手法など詳細は続報が待たれますが、直近ではイギリスの国民保健サービス(NHS)の請負業者に対するランサムウェア攻撃で、複数の主要な病院において手術や検査、予約業務を中止するなど、医療業界へのサイバー攻撃が再び目立っています。
トレンドマイクロの2023年の全世界のマルウェア検出データにおいても、「ヘルスケア」は政府機関に続いて第2位の業界となっています。
図1:マルウェア検出台数の業界別トップ5
(トレンドマイクロ「2023年 年間サイバーセキュリティレポート」より)
記憶に新しいところでは、2023年3月、大阪府立病院機構 大阪急性期・総合医療センターは、2022年10月に起こったランサムウェアによるサイバー攻撃に関して報告書を発表しました。報告書では、サイバー攻撃者が給食事業者のデータセンターへ不正に侵入した後、VPNによる閉域網で接続されている大阪府立病院機構 大阪急性期・総合医療センターへ侵入を広げたことが言及されています。これは攻撃の弱点となる箇所からサイバー攻撃を行うサプライチェーンリスクが顕在化した一例と言えます。
また、報告書によるとサイバー攻撃に使用されたランサムウェアはPhobosである可能性について言及されています。ランサムウェアPhobosは、「WATER SIRENA」というサイバー攻撃者グループが用いるマルウェアの1つです。サイバー攻撃者グループ「WATER SIRENA」は、Phobos以外にもCrysis、Dharmaなどのランサムウェアを用いて攻撃を行います。当社では、「WATER SIRENA」が用いるランサムウェアCrysis、Dharma、Phobosを全世界で1,600台以上検出しています(2022年通年)。
WannaCryなど、かつてのバラマキ型のランサムウェア攻撃と比較すると数は少ないですが、ランサムウェア攻撃の手法が標的型の手法に移行してから、1件1件の攻撃が深刻な被害をもたらすようになりました。
図2:ランサムウェアの検出数推移(全世界)
(トレンドマイクロ「2023年 年間サイバーセキュリティレポート」より)
加えて、悪用された可能性のある脆弱性はFortinetのVPN機器に関する脆弱性(CVE-2018-13379)であり、本脆弱性は、トレンドマイクロが2022年に観測しているVPN関連の脆弱性のうち、世界中で最も悪用されたものです(2022年に本脆弱性を悪用するサイバー攻撃を933,342回当社製品で検知)。
CVE-2018-13379は、2019年に修正プログラムが公開された脆弱性であり、法人組織の担当者は改めて、自社の機器における脆弱性への対応が適切に行えているか徹底することが求められます。またこの脆弱性を悪用した攻撃は、VPN機器の管理用ID・パスワードも窃取することが可能です。脆弱性を解消した後でも、窃取されたID・パスワードを変更していない場合、攻撃者が引き続きVPN機器経由で侵入してくるリスクが存在しますので、ご注意ください。
ランサムウェア攻撃者の標的
2021年10月、日本の医療業界において、もっとも忘れがたいサイバーインシデントが起こりました。徳島県つるぎ町立半田病院のランサムウェア被害です※1。また、2022年10月31日、大阪府立病院機構 大阪急性期・総合医療センターは「ランサムウェアと思われる攻撃により、当センターの電子カルテシステムに障害が発生し、緊急以外の手術や外来診療の一時停止など通常診療ができない状況」であることを発表しました※2。
※1 徳島県つるぎ町立半田病院 『コンピュータウイルス感染事案 有識者会議調査報告書』より。
※2 大阪府立病院機構 大阪急性期・総合医療センター『「電子カルテシステム」の障害発生について』より。
このように医療業界へのランサムウェアによる被害が実際に起こっていることは事実ですが、医療業界に対するランサムウェア攻撃の傾向はどうなっているのでしょうか?
本稿では、当社の独自調査を含めた分析により、医療業界におけるランサムウェア攻撃の傾向を紐解きます。
図3は、2021年にランサムウェアの検出台数が多かったトップ3の業種において、検出したランサムウェアの内訳を示したものです。詳細な説明は省きますが、ランサムウェアは大きくわけると、広く拡散するばらまき型と、標的組織を入念に調査した上で攻撃を行う標的型の2種類があります。2017年頃全世界的に猛威を振るい、現在でも検出台数が多い「WannaCry(ワナクライ)」は、ばらまき型の代表例です。
一方「GandCrab(別名:REvil(レビル)」や「LockBit(ロックビット)」は、標的型の代表例です。
※4 トレンドマイクロ『2021 年年間セキュリティラウンドアップ』より。
「LockBit(ロックビット)」のヘルスケア(医療業界)における検出台数は非常に多いです。また、半田病院の報告書でも「Lockbit2.0に感染し、患者の診察記録を預かる電子カルテなどの端末や関連するサーバのデータが暗号化され、データが使用できない甚大な被害が生じた」と言及されています。
Lockbitは、2024年2月20日(現地時間)、英NCAや日本の警察庁など各国の法執行機関の連携によってインフラのテイクダウンが公表されましたが、その後Lockbitのリーダーとされる人物がリークサイトを再度公開し、活動を再開させているため、注意が必要です。
参考記事:ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
LockBitは、二重脅迫を行うランサムウェアでもあります。二重脅迫とは、データを暗号化するだけではなく法人組織の機密情報を窃取し、「暴露されたくなければ身代金を支払え」と被害組織をさらに脅迫する行為です。暴露はリークサイトと呼ばれる、各々のサイバー攻撃者が運営するWebサイトで行われます。この数値を見ると、ヘルスケア(医療業界)はそれほど数が多くないことが伺えます。
実は、LockBitを用いるサイバー攻撃者は、医療業界を攻撃しないと主張していました。
しかし、あくまでサイバー攻撃者の言い分であることや、LockBitがRaaS(ランサムウェア・アズ・ア・サービス)を採用しており、ランサムウェアのインフラを用意している側と実際に攻撃する側が分業モデルをとっていることに留意が必要です。検出状況を見ると攻撃は発生しているため、攻撃に注意しないといけないことに変わりはありません。
※5 トレンドマイクロ『2021 年年間セキュリティラウンドアップ』より。
ランサムウェアの侵入手法
次に、昨今のランサムウェアがどのように侵入してくるのかを解説します。ランサムウェアに限らずですが、最も注視しなければいけないポイントの1つはネットワーク機器、特に、VPN(Virtual Private Network)機器の脆弱性を悪用した攻撃です。2021年、VPN製品で悪用された脆弱性の1つが「CVE-2018-13379」です。修正プログラムが2019年5月から提供されていたにもかかわらず、2021年の検出数は63万1,000件以上に達しました(図4参照)。これは、攻撃者が「多くの法人組織がVPN機器に修正プログラムを適用していないであろう」と見越して攻撃を行っていることを意味しています。医療業界に限った話ではありませんが、公開されている被害事例のほか、当社のインシデント対応事例の中でもVPN機器経由で侵入されたと思われる事例は多数あります。半田病院の報告書では、侵入はVPN機器だと推測されると言及しており、修正プログラムを適用していなかったことが原因と述べています。(なお、報告書内で言及されている脆弱性は上記の「CVE-2018-13379」です。)
また、一般社団法人医療ISACが実施した調査においても、
| ・脆弱性が指摘されたVPN製品に対する対策を実施せず、そのまま利用を続けている割合は、医療生協(50%)、私立大学法人(46%)が相対的に高い。 ・それ以外の開設者区分でも平均的に2割前後は脆弱性未済のVPN製品が利用され続けている状況である。 |
という記載があることから、VPN機器の修正プログラム適用を行っていないことが医療業界の大きな問題の1つであることが伺えます。
※6 トレンドマイクロ『2021 年年間セキュリティラウンドアップ』より。
また、ランサムウェアは一般的に、VPN機器の脆弱性を悪用する以外に「RDP(Remote Desktop Protocol)の管理不備(脆弱なパスワードなど)を悪用する」、「フィッシングメールから感染させる」といった手法も用いるため、あわせて自組織のセキュリティ対策状況を確認することをおすすめします。
影響度が大きい病院へのサイバー攻撃
当社が実施した別の調査をもとに、医療業界へのランサムウェア攻撃による被害の実態を見ていきたいと思います。2022年5月~6月に医療業界を含む法人組織におけるIT部門の意思決定者2,958名(日本を含む26の国と地域:2,958名、日本のみ:203名)に実施した調査から、医療業界の約57%が、「過去3年間にランサムウェアに感染した」と回答しています。また、過去3年間にランサムウェアに感染したと回答した医療業界のうち、約25%は「業務を完全に停止することを余儀なくされた」と回答しています。
この調査から、病院を含む医療業界へのサイバー攻撃は非常にインパクトが大きくなることが伺えます。
医療業界に限らずですが、サイバー攻撃によるリスクは、脅威×脆弱性×資産で考えることができます。ランサムウェアを例にすると、LockBitの検出台数は医療業界が多いこと。脆弱性という意味では、攻撃の検出数が多いVPN機器の脆弱性管理が徹底できていないこと。そして、資産という意味で病院は人命にも関わることから、発生した際のリスクが非常に大きくなってしまうことを考慮しなければなりません。今一度、自組織のリスクを洗い出し、万が一サイバー攻撃にあった際に生じる被害について、組織内で共通の理解を持つことが求められます。
脆弱性管理については、以下の記事もご覧ください。
まとめ
「病院はランサムウェアに狙われているのか?」という問いに答えると「病院だけが狙われているわけではない。しかし、ランサムウェアの被害が発生した際の影響が非常に大きい業種の1つが病院である」と言えます。また、当社データを見ると、少なくともLockBitによる攻撃は医療業界に行われていることが伺えます。そのため、サイバー攻撃者が用いる手法などを理解することが、対策立案に活かせるといえます。
本情報サイトSecurity GOや当社セキュリティブログでは、LockBitをはじめとしたサイバー攻撃者の解説記事を紹介しておりますので、ぜひご参照ください。
最後に、システムに限らず組織の脆弱性対策は、自組織のみで完結するわけではありません。SIerなどと連携し、課題点の洗い出しや脆弱性管理をどうすべきかの議論をしていくことをおすすめします。
関連ページ:業種別のソリューションのご案内
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
