コロナ禍でコンピューターウイルスにも狙われる医療機関

　病院へのサイバー攻撃が注目されるのは、第一にそれが人命に関わる問題だからだ。

　サイバー攻撃が直接の原因でなくても、医療業務に支障が出れば正しい治療や投薬ができず、最悪の場合死に至る可能性がある。実際にドイツでは2020年、ランサムウェアによる攻撃を受けた病院が、予定した手術ができなくなり、患者を他の病院に転送している最中に死亡するという事故が起きている。

　10月末に発生したとされる徳島県の病院の事例では、すべての電子カルテデータが暗号化され利用できなくなった。カルテにアクセスできないと、それまでの病状、診断、治療がどうなっていたかは、患者本人に聞くしかない。記録を調べず記憶だけで治療を続けながら、新しいシステムを構築するというが、その間の事務処理ミスなどのリスクは避けられない。最悪は患者の生死に関わる事例といって良いだろう。

　第二に、病院へのサイバー攻撃が実際に増えているという理由だ。フォーブス誌カウンシルメンバーの報告「Increased Cyberattacks On Healthcare Institutions Shows The Need For Greater Cybersecurity」によると、米国では2015年から2020年までの間、病院へのサイバー攻撃は連続して前年より植えているという。特に2019年から2020年は42％も増加した。このうち半数以上（62％）が患者の情報漏えいインシデントだった。同誌では、病院攻撃が増えている背景に新型コロナウイルス、COVID-19があるとしている。

病院が狙われる理由と手口

　COVID-19パンデミックにより、各国の医療体制は緊急時対応を迫られた。波はあるものの、世界的な流行（パンデミック）により、この状況は2021年現在も続いている。医療ニーズが高まり治療体制やリソースが逼迫しているところに攻撃を仕掛ければ、身代金を支払ってもらえる確率が高まる。攻撃者はその「足元」を見ているのだ。

　また、身代金の要求に応じなくても、COVID-19や新型コロナウイルスに関する治療データ、ワクチン情報は非常に高い価値を持つ。良からぬ連中には札束にしか見えないだろう。これも病院や医療機関が標的にされる理由の1つだ。2020年にはカリフォルニア大学サンフランシスコ校（UCSF）、2021年4月にはオックスフォードの研究施設が「Netwalker」という暴露型ランサムウェアの被害にあっている。

　UCSFやオックスフォードの事例は、高額な身代金が見込めるとしておそらく最初から標的を決めて狙った攻撃だ。だが、日本を含め各国で起きているランサムウェアの攻撃は、不特定多数を想定したばらまき型のような攻撃も多い。冒頭の徳島県の病院の攻撃事例は、そこを狙った攻撃というより、RaaS（Ransomeware as a Service：サービスとしてのランサムウェア）を利用した犯罪者による無差別攻撃に近いものとされている。

　標的を特定せず、業界範囲や入手できたリストをベースに攻撃を放ち、身代金支払いのためコンタクトしてきた相手だけに対応するという手口だ。

海外では医療機器へのハッキングも問題に

　医療機関への攻撃はランサムウェアだけではない。HIPAA Journalは、過去18カ月、全米医療機関の82％がなんらかのIoT関連のサイバー攻撃を受けているという調査結果を発表している。医療機器や電子カルテシステム、医療事務システムの各種デバイスもサイバー攻撃の対象となっている。

　BlackHatなどセキュリティカンファレンスでは、ペースメーカーやMRI（磁気共鳴画像装置）など医療機器へのサイバー攻撃の報告が行われているが、グローバルではこのような攻撃も起き始めている。ランサムウェア以外の病院や医療機関ならではの攻撃にはどのようなものがあるのだろうか。ここからは4つほど、代表例を挙げていこう。

・電子カルテシステム
　ランサムウェアが電子カルテシステムや患者データを盗んだり、暗号化することもあるが、病院内のシステムになんらかの方法で侵入する攻撃もある。日本では、病院ごとに電子カルテシステムを構築導入することが多いが、これらも近年インターネットにつながっていることが増えており、攻撃リスクは避けられない状態だ。

　特に中規模以下の病院、クリニックでは独自システムを導入するだけの規模や予算がないため、インターネット接続を前提としたクラウドサービス、プロバイダーサービスを利用することになる。

【次ページ】米国で大問題になった「オピオイドクライシス」とは？