【関連記事】韓国「平昌オリンピック」で6億ものサイバー攻撃があった事情
病院のセキュリティは万全か?
日本では2006年から、診療報酬明細書のオンライン請求が始まりました。患者が加入する健康保険組合に、医療機関が提出する診療報酬明細書には、患者の氏名や住所などの個人情報のほかに、保険情報、診療の内容、使用した薬剤など、非常にセンシティブな情報が記載されており、セキュリティ対策が求められます。
その一方で、医療機関ではサイバーセキュリティ対策が十分に浸透せず、ウィルス感染による情報流出が発生しています。
日本でも電子カルテシステムがウィルスに感染し、電子カルテシステムを二日間利用できなくなったり、病院内のパソコンがランサムウェア攻撃を受け、MRIなどの放射線を利用する医療機器が停止する事例が起きています。
ランサムウェア攻撃とは、パソコンをコンピュータウィルスに感染させて使えない状態にして、身代金を要求するもので、ハッカーが送った添付ファイルを開いたり、リンク先をクリックすることで感染します。
IoT機器やクラウドの利用も増えている中で、セキュリティ対策はますます重要になっています。
NATOもサイバー対策強化を要請
近年は公的機関や企業、個人に対するサイバー攻撃が増加傾向にありましたが、新型コロナウィルスの流行と共に、医療機関をターゲットにしたサイバー攻撃がとくに増えています。
アメリカ保健福祉省(HHS)によると、病院や医療機関に対するサイバー攻撃は2020年の2〜5月に132件報告されました。これは前年同月比より50%も多かったのです。
アメリカだけでなく、世界各国でサイバー攻撃が起きています。2020年5月には、ヨーロッパ最大の民間病院事業者フレゼニウス・グループがランサムウェア攻撃を受け、業務の一部が制限されました。同グループは以前にもランサムウェアに感染し、150万ドル(約1億6600万円)を払って業務を再開したことがあります。
2020年7月には、アメリカのペンシルベニア州の病院で、ランサムウェア攻撃によって患者約2万6000人分の情報(住所、氏名、生年月日、社会保証番号、診断・治療情報など)が流出した可能性があります。ハッカーは流出したデータを販売して、資金を得ていると考えられています。
2021年には、アイルランドで公的医療を提供する、保健サービス委員会(HSE)のITシステムがランサムウェア攻撃を受け、予防措置としてシステムをオフラインにし、一部の外来患者の予約がキャンセルされる事態になりました。
たとえば、ダブリン市内の産婦人科病院は、妊婦が妊娠36週以降出ない限り、外来診療を全てキャンセルするしたのです。このように、医療機関や医療に関わる公的機関がサイバー攻撃を受けることは、地域住民の健康や生命に関わる深刻な事態につながりかねません。
どのようなランサムウェアがHSEを攻撃したのかは不明ですが、HSEは警察やサイバーセキュリティの専門家と協力して対応しています。
ほかにも、WHOやイギリスのワクチン試験施設、パリ周辺の大学病院を統括するパリ公立病院連合、アメリカ保険福祉省などがパンデミック期間中に攻撃を受けました。
セキュリティ対策の重要性
イギリスのシェフィールド・ハラム大学のコンピュータネットワーク・エンジニアリングの上級講師ベルナルディ・プラゴノ博士らは、新型コロナウィルスのパンデミックとサイバー攻撃の増加には明らかに関連性があり、パンデミックによる不安の増加がサイバー攻撃の成功率も高めている、と報告しています。
プラゴノ博士らによると、サイバーセキュリティ対策を持っている医療機関は38%しかないといいます。
医療機関のネットワークにはさまざまな専門機器が接続されているせいで複雑であり、古い技術で構築された「レガシーシステム」が残っていることなども、脆弱性に繋がっているという指摘もあります。
なお、アメリカ保健福祉省は、サイバー攻撃を受けた時に迅速に対応するためのチェックリストを公開しています。危機管理計画に従って対応し、保護されなくてはいけない健康情報が開示されないようにすることや、サイバーセキュリティの脅威の程度を示す指標を国土安全保障省や保健福祉省などに報告することなどを求めています。
北大西洋条約機構(NATO)の北大西洋理事会もこのような事態を危惧し、医療機関へのサイバー攻撃を非難する声明を2020年に発表しています。「医療サービス、病院、研究機関への悪意あるサイバー攻撃を非難する。これらの機関が最も必要とされている時に、市民の命を危険にさらし、できるだけ早くパンデミックを克服しようとする私たちの能力も危険に晒している」と訴え、インフラの保護とサイバー対策の強化を加盟国に求めました。日本でも病院や医療機関のセキュリティ対策を強化する必要がありそうです。
また、無線通信を利用した医療機器の脆弱性も問題になっています。無線を使って患者の血糖値を測定し、患者の一日の血糖値を監視・追跡できるインスリンポンプについて、アメリカ食品医薬品局(FDA)は、サイバーセキュリティ上の理由でリコールを求めました。遠隔操作でインスリンポンプの設定を変更し、インスリンを過剰に投与したり、不足させるなど、危害を起こす可能性があることがわかったからです。
FDAの戦略的パートナーシップ・技術革新の副所長、スザンヌ・シュワルツ博士は、「Wi-Fiや家庭用インターネットなどの通信ネットワークに接続された機器には、権限のないユーザーが悪用するサイバーセキュリティ上の脆弱性がある」と、リスクを警告しています。