開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2020/12/09

米医療機関は“やられっぱなし”、今急増している「新たな敵」とは?

連載:米国の動向から読み解くビジネス羅針盤

米国内の医療機関や研究機関に対するランサムウェア攻撃の増加が止まらない。患者の命を預かる弱みに付け込んだ攻撃は、データ身代金の支払率が高く、成功に味をしめた犯罪グループがより多くのサーバアタックを仕掛けるからだ。抜本的な解決策が見つからない米国における「傾向と対策」を俯瞰(ふかん)し、法整備や官民合同の対策、さらに国際協力など広範な提言がなされる現状をまとめる。

在米ジャーナリスト 岩田 太郎

在米ジャーナリスト 岩田 太郎

米NBCニュースの東京総局、読売新聞の英字新聞部、日経国際ニュースセンターなどで金融・経済報道の基礎を学ぶ。現在、米国の経済を広く深く分析した記事を『週刊エコノミスト』などの紙媒体に発表する一方、『Japan In-Depth』や『ZUU Online』など多チャンネルで配信されるウェブメディアにも寄稿する。海外大物の長時間インタビューも手掛けており、金融・マクロ経済・エネルギー・企業分析などの記事執筆と翻訳が得意分野。国際政治をはじめ、子育て・教育・司法・犯罪など社会の分析も幅広く提供する。「時代の流れを一歩先取りする分析」を心掛ける。

photo
コロナ禍で厳しい状況にある医療機関を、さらに苦しめるサイバー攻撃。傾向と対策は
(Photo/Getty Images)


やられっ放しの米医療機関

 日本では11月上旬に、「バイオハザード」や「ストリートファイター」などのゲームタイトルを展開するカプコンがランサムウェア攻撃を受けた。同社が身代金支払い要求に応じなかったために、ハッカーたちが従業員の給与などの情報を流出させ、議論を巻き起こした。カプコンは従業員の個人情報や顧客情報がさらされることを覚悟で、犯罪者集団の要求に応じない断固とした姿勢を貫いたわけで、その功罪はいずれ明らかになろう。

 一方、米国では2020年に入ってから10月までの9カ月間だけで、病院や製薬を手掛ける研究機関などに対するランサムウェア攻撃が判明しているだけで80件と急増しており、ある米メディアの推計では過去1年半で1000件以上の医療機関に対するサイバーアタックがあったとされる。

 こうした中、米国の病院・医療サービス最大手であるユニバーサル・ヘルス・サービス(UHS)のシステムが9月27日にサーバアタックで使用不能になり、全米および英国において400カ所以上の施設で業務が滞った。社内IP電話での通話が不能となって現場が大混乱したほか、患者のカルテも閲覧できなくなった。救急患者の受け入れも停止され、ほかの病院へ転送された。システムが完全に正常化したのは3週間後という、大惨事であった。米NBCニュースはこれを、「米国の医療機関に対する最大規模の攻撃」と形容した。

 犯行グループがユニバーサル・ヘルス・サービスに対し、どのような額の身代金を要求したか、さらに同社が実際に身代金を支払ったのか否かも公表されていないため、実態はわからない。ただ、ユニバーサル・ヘルス・サービスへの攻撃は、ドイツで搬送先病院に対するランサムウェア攻撃のために30km以上離れた他院へ転送を強いられた女性が死亡した事件の直後に起こっている。復旧に3週間を要したことから考えて、身代金を支払わなかった、あるいは払ったにもかかわらずデータが復旧できなかったなどの可能性も考えられる。

 一方で、身代金を実際に支払ったケースも多く報告されている。たとえば、カリフォルニア州ロサンゼルスにある434床のハリウッドプレスビテリアン医療センターでは2016年2月に突然、内部ネットワークが機能しなくなった。医師や看護師たちはパニックに陥ったという。病院側は、サイバー攻撃を実行した犯行グループから脅迫が届くや、即座に1万7000ドル(約177万円)の身代金の支払いを決定。病院のスタッフが総出で近所のATMからおろした現金を暗号通貨に替え、送金した。

 幸い、患者に被害はなかったが、これがハッカーたちに「病院は、ほぼ必ず身代金を支払ういいカモだ」と認識させる出来事になったという。また、インディアナ州のハンコック地域医療センターは2018年1月にランサムウェア攻撃を受けた。同病院は犯行グループに4万5000ドル(約470万円)を支払っている。

 2020年6月1日には、カリフォルニア大学サンフランシスコ校医学部のシステムが「ネットウォーカー」ウイルスに感染。患者への治療には影響が出なかったものの、重要な研究成果が暗号化されてしまった。同医学部は新型コロナウイルスの抗体検査や感染防止研究の先端を行くが、どのような情報が影響を受けたかは公表されていない。いずれにせよ、最終的にカリフォルニア大学は6月末に114万ドル(約1億2020万円)相当の身代金を攻撃者に支払った。身代金は桁外れに高騰する一方だ。

 病院は弱みを見抜かれているため、それがますます攻撃を増やしており、抜本的な対策はないのが実情だ。「被害者側の行動が犯罪を奨励している面がある」と語るのは、サイバー米セキュリティ対策企業FireEye Mandiant取締役のチャールズ・カーマカル氏だ。また、「病院による身代金の支払いは、抗生物質が効かない薬剤耐性菌を作り出しているようなものだ」と医療のたとえを使って、うまい説明をする識者もいる。

 新型コロナウイルスの爆発的流行が米国で進んだ3月に、複数のサイバー犯罪グループは「われわれはCovid-19のパンデミック期間中は、病院や医療機関を攻撃しない」との声明を発表した。また、ランサムウェア運営者たちも同様な声明を出し、「暗号化されてしまったデータは元に戻す」とさえ約束した。だが、犯罪者の良心には期待できないことは、その後の事態の展開が示すとおりだ。

 米連邦捜査局(FBI)、米保健社会福祉省、さらに安全保障省(DHS)の下部組織であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は10月下旬に米医療機関に対し、「切迫したランサムウェア攻撃の脅威がある」と警告を発した。さらに11月初旬には米証券取引委員会(SEC)が米企業に対し、「サイバー攻撃が激化する中、企業は積極的な対策を採る」よう強く要請した。

【次ページ】最大の敵は予算不足。対策は?

お勧め記事

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!