あなたの財産を「守る」「増やす」「残す」ための総合情報サイト

THE GOLD ONLINE

メルマガ/無料登録 マイページ/ログイン
THE GOLD ONLINEとは メルマガ登録 カメハメハ倶楽部
(※写真はイメージです/PIXTA)

クリニックには極めてセンシティブな個人情報があり、情報漏えいは万全の態勢で阻止しなければなりません。しかし逆に、そこを弱点として突かれ、金銭を要求する悪質なサイバー犯罪の標的となりやすいのも事実です。ここでは3つの事例を見ながら、サイバー犯罪への対応策を解説します。本連載は、コスモス薬品Webサイトからの転載記事です。

個人情報保護の重要性

近年では、個人情報の取り扱いの重要性が周知されつつありますが、具体的な対策や取扱い方法を知らないスタッフが多ければ、適切な個人情報保護体制を敷くことは容易ではありません。この問題は、いずれの組織においても重要な課題のひとつとなっています。

 

ここでは、組織におけるサイバーテロの問題を考えるとともに、しばしば仕掛けられる攻撃とその内容、具体的なリスクについて見ていきます。

ランサムウェア…システム障害を引き起こし、身代金を要求

「ランサムウェア」とは、ファイルを暗号化してシステムの障害を引き起こすマルウェアのことです。

 

ランサムウェアに感染すると、ファイルの暗号化を解除する対価として金銭や仮想通貨での支払いを要求されます。ランサム(身代金)を要求するマルウェアであることから、ランサムウェアと名付けられました。

 

注意すべきは、対価を支払ったとしてもファイルの暗号化等が解除される保証がないことで、対応方法には細心の注意が求められます。

 

万一クリニック内の端末がランサムウェアに感染した場合、電子カルテ等が使用できなくなるなどの、きわめて深刻な業務上の問題に及ぶリスクがあります。

 

事例…院内の端末がVPN機器を経由で感染

2022年10月、某医院にて電子カルテが暗号化されて使用できなくなり、診察が行えないなど、患者様に大きな影響が及んだ事例がありました。院内の端末がVPN機器を経由してランサムウェアに感染したことが原因でした。

 

ランサムウェアの脅威

もしランサムウェアに感染したら、診察に支障が出るだけではなく、個人情報流出に対する対応も必要となり、業務に多大な影響が及びます。

 

2023年におけるランサムウェアによる被害は197件と多く、また、医院や病院は業務の性質から被害が大きくなりやすいため、十分な注意が求められます。

 

原因と対策

VPN機器経由のランサムウェアへの感染事例は多く、セキュリティに配慮したVPN機器を利用しているとの安心感から、導入後の対策がおろそかになっていることが原因だと推測されます。VPN機器のファームウェアを最新にしておくなど、導入後にもきめ細かい対策が必要です。

Emotet…情報の窃取により、取引先にも膨大な悪影響を及ぼすマルウェア

 

Emotetとは、情報の窃取を行うマルウェアで、窃取された情報はそのまま漏洩するだけではなく、その情報から得たメールアドレスといった連絡先にスパムメッセージが送信されることで、さらなる深刻な感染拡大のリスクを孕んでいます。

 

事例

2019年5月、T医療センターにて医師の端末がEmotetに感染し、メールボックス内の情報が流出しました。これはメールに添付されたファイルを職員が開いたことが原因でした。

 

Emotetの脅威

Emotetに感染した場合、感染したPC端末などで利用されているメールアカウントの情報が流出し、過去にやり取りしていた取引先など多方面に影響が及ぶ事例が多くあります。

 

原因と対策

Emotetへの感染は、メールの添付ファイルが原因となるケースが多くあります。感染予防としては、メール本文に不審な点(日本語の表現が不自然など)がないかを確認し、少しでもおかしな点があれば、添付ファイルに操作を加えず、システム担当者に対応を依頼するようにします。

 

また、Excelファイルが添付されていた場合、必要がない限り「マクロを有効にする」「コンテンツの有効化」というボタンをクリックしないことも、有効な防御策です。

サプライチェーンの弱点を突いた攻撃

これは、強固なセキュリティ対策を行っている組織を標的に、同一サプライチェーン上の「セキュリティが脆弱な組織」を経由して行われるサイバー攻撃です。

 

具体的には、下記3点のケースが考えられます。

 

●マルウェアに感染済みの取引先から、直接マルウェアを含んだプログラムを受け取ってしまう

●取引先が連絡先等の情報を窃取され、情報を窃取された取引先を装ったメールを受信して開いてしまう

●取引先に渡した情報が漏えいしてしまう

 

事例

2022年10月、K医療センターで、電子カルテをはじめとするさまざまなシステムがランサムウェアに感染し、使用できなくなる事例がありました。これは、すでにランサムウェアに感染していた給食センターに、院内の給食システムの構築を委託していたことが原因でした。

 

サプライチェーンの弱点を悪用した攻撃の脅威

サプライチェーンの弱点を悪用した攻撃は、対策が困難な一方で、標的にならなければ、対策への切迫度合いは低くなります。

 

ただし、個人情報を多く保有するシステムはしばしば標的とされることから、患者様の個人情報を多く扱い、蓄積しているクリニックは、標的にされやすいといえます。

 

原因と対策

サプライチェーンの弱点を悪用した攻撃は、さまざまなケースが想定されるため、対策も一筋縄ではないため、あらゆるセキュリティ対策を徹底することが重要です。

 

保有している端末やネットワークを厳しく管理し、マルウェアへの感染を防御していても、業務委託先や外部への情報提が行われている場合は、そちらから情報が流出するリスクがあります。そのため、取引先や業務委託先のセキュリティ環境についても確認しておくことが大切です。

まとめ…外部との情報のやりとりは慎重に

組織内の個人情報を保護するには、VPNを使用できる端末やアプリケーションを制限するほか、メールの添付ファイルへの警戒も重要です。

 

一度感染すれば被害の拡大は必至であることから、常に警戒を忘れないようにしましょう。そして、院内だけではなく、取引先のセキュリティ対策についても、ぜひ一度確認することをお勧めします。

 

 

大野 達也
株式会社UPF

その他 ドクター向け
#開業医

【第65回】の記事を読む

【第67回】の記事を読む

株式会社コスモス薬品

株式会社コスモス薬品

コスモス薬品は、地域医療の担い手である開業医を全力でサポートしてまいります。
https://www.cosmospc.co.jp/clinic-support/(外部サイトに遷移します)

私たちが選ばれる理由
https://www.cosmospc.co.jp/clinic-support/about/strongpoint.php(外部サイトに遷移します)

著者プロフィール詳細

連載記事一覧

連載クリニック開業を目指すドクターが知っておきたい〈税務・法務・院内運営〉の基礎知識

連載記事一覧
大野 達也

大野 達也

株式会社UPF 営業部セールスグループ

中央大学経済学部卒業後、2024年に株式会社UPFへ入社。民間企業はもちろん、官公庁や医療法人に対し、顧客に寄り添ったコンサルティングをポリシーとして、第三者認証(Pマーク、各種ISO等)の取得サポートを行っている。

株式会社UPF HP:https://upfsecurity.co.jp/

著者プロフィール詳細

連載記事一覧

連載クリニック開業を目指すドクターが知っておきたい〈税務・法務・院内運営〉の基礎知識

連載記事一覧