医療分野を標的としたサイバー攻撃の新常識と対策の考察

　米国や日本でも医療分野は、国民の生活を健康・快適・安全・安心に過ごすための重要インフラ分野の一つとして指定され、サイバー攻撃に対する医療情報システムのセキュリティ強化対策が進められています。
　しかし、医療分野のデジタル化は、電子カルテや診療・保険請求業務などの医療情報システムだけでなく、高機能化する医療機器に加え、介護支援、病院スタッフの負担軽減、院内・患者の監視、案内・誘導など多目的ロボット等の利用が､今後ますます拡大・進展すると思われます。別コラムでの自動車やビルと同じように、医療機器やロボットなどの制御機器へのサイバー攻撃の脅威が増大してきています。
　本コラムでは、医療分野、特に医療機器へのサイバー攻撃の脅威と考察を紹介します。
　なお、本コラムでは医療分野について①医療機関・機器のサービス利用者（患者や世話人等）、②病院などの医療関連機関（病院、診療所など）と薬・医療機器の提供機関、③薬・医療機器製造企業と医者・看護師等向けの教育機関、④医療研究・テスト・評価機関、⑤医療政策機関の5つに図1に示すように階層的に分類、整理しました。このすべての関係者や組織でのサイバー攻撃の脅威情報や適切な対策方法の情報共有が重要となってきています。

　本コラムを参考にして、患者を含む医療関係者が医療分野でのサイバー攻撃の脅威の現状を把握して、適切なセキュリティ対策を進めていただけることを期待します。

図1　医療分野の階層的な分類、整理

　サイバー攻撃の概要、標的型メール攻撃、DDoS攻撃、ランサムウエア攻撃やサプライチェーン攻撃については、筆者の次の書籍および本Tokio Cyber Portのコラムを参照してください。

① 書籍名：「米・露・中国・北朝鮮の攻撃分析から学ぶ　サイバー攻撃の新常識」
著者：CIPセキュリティリサーチ 小林偉昭、出版社：株式会社エヌ・ティー・エス
発行：2019年12月

② Tokio Cyber Port スペシャリストコラム 「重要インフラに対するサイバー攻撃の新常識」 3回シリーズ

③ Tokio Cyber Port スペシャリストコラム 「自動車へのサイバー攻撃の新常識と対応の考察」

④ Tokio Cyber Port スペシャリストコラム 「ビルを標的としたサイバー攻撃の新常識と対応の考察」

　新型コロナウイルスのパンデミック以降、ワクチン開発競争が過激となり、各国が自国内だけでなく、他国への支給も視野に入れるなど、世界のリーダの地位を確保しようとしています。このため他国のワクチン研究・開発情報を不正に入手しようとする国もあると指摘されています。ここでは、米国、英国とカナダの政府情報セキュリティ機関が公表した2020年4月以降の医療分野へのサイバー攻撃に対する注意喚起・勧告について説明します。表1に概要をまとめました。

表1　米英カナダ政府機関が公表した2020年での医療分野へのサイバー攻撃

DHS：米国国土安全保障省（Department of Homeland Security）
CISA：サイバーセキュリティ・インフラセキュリティ庁（Cybersecurity and Infrastructure Security Agency）
GCHQ：英国政府通信本部（Government Communications Headquarters）
NCSC：国際サイバーセキュリティセンタ（National Cyber Security Centre）
APT：持続的に標的型攻撃をする組織（Advanced Persistent Threat）
FBI：米国連邦捜査局（Federal Bureau of Investigation）
CSE：カナダ通信保安局（Communications Security Establishment）
NSA：米国国家安全保障局（National Security Agency）
SVR：ロシア対外情報庁（Service of the External Reconnaissance of Russian Federation）

　表1を見ても分かるように、公表に当たり当初は持続的に標的型サイバー攻撃をする政府支援のハッカー組織APT（Advanced Persistent Threat）と表現していましたが、5月以降は中国、ロシアと国名を明確にしています。
　7月16日の公表では、英国国家サイバーセキュリティセンタ（NCSC：National Cyber Security Centre）は、新型コロナウイルスが拡散し始めた2020年2月、3月からサイバー攻撃のキャンペーン（詳細は第5章）が実施されていたとも公表しています。また、カナダ通信保安局（CSE：Communications Security Establishment）も4月、5月に新型コロナウイルス研究機関がサイバー攻撃を受けたと報告しています。本件についてロシア政府の広報官は、完全否定しています。なお、注意喚起発表はロシアが年内に2億回分の実験的ワクチンを生産すると発表した数時間後でした。
　さらに、2020年10月28日には、米国連邦捜査局FBI、サイバーセキュリティ・インフラストラクチャセキュリティ庁CISA、および保健社会福祉省（HHS：Department of Health and Human Services）が、医療分野を標的としたロシアからのランサムウエア攻撃に関する共同アラートを発表し、医療提供者にタイムリーかつ合理的な予防措置を講じるよう警告しています。

　医療機器に対するサイバー攻撃の概要について図2でまず説明します。
　ペースメーカーや植込み型除細動器、CT（Computed Tomography）やMRI（Magnetic Resonance Imaging）等の医療用画像診断装置等の医療機器は、ネットワーク（無線など）を介して医療機器制御装置により起動、監視、処置、画像情報保管などの機能を正確に、停止することなく実施されています。このような装置は、電力、ガス、通信、鉄道、自動車、ビルなどでも利用される制御システム（機器）と呼ばれています。医療機器も医療分野のインフラを支える制御システムです。
　サイバー攻撃者は、医療機器制御装置や医療機器のソフトウエア（ファームウエア含む）の脆弱性を狙い、攻撃ソフトを医療機器に侵入させます。この攻撃ソフトが、医療機器の動作を不正に制御することにより機能を停止したり、規定外の量の薬を注入したりするなど、生命への脅威となります。

図2　医療機器概要とサイバー攻撃

（1）米国食品医薬品局（FDA：Food and Drug Administration）からの注意喚起

表2－1　FDAからの注意勧告の一覧

TCP/IP：Transmission Control Protocol /Internet Protocol　インターネットで使用される通信プロトコル

（2）セキュリティベンダや大学の研究者等による実証実験

表2－2　セキュリティ研究者による実証実験（脆弱性発見）

CT：Computed Tomography 　X線を使用して撮影
MRI：Magnetic Resonance Imaging　磁場と電波を使用して撮影
ICT-CERT：Industrial Control Systems Cyber Emergency Response Team
　　　　　 制御システム対応のセキュリティ対応チーム（制御システムには医療機器も含まれる）
DEFCON：DEFence CONdition　ラスベガスで行われる世界最高峰のハッキングコンテスト

（3）医療機器開発企業が脆弱性を自主的に報告

表2－3　医療機器開発企業からの脆弱性報告

PET：Positron Emission Tomography（陽電子放出断層撮影法）：がんや炎症の病巣を調べたり、腫瘍の大きさや場所の特定、良性・悪性の区別、転移状況や治療効果の判定、再発の診断などに利用

　医療分野で増加しているサイバー攻撃についていくつか紹介します。

（1）ランサムウエア攻撃

（2）メール、SNSやウエブ検索を利用する医療関係者へのサイバー攻撃

図3　具体的な攻撃方法の例

（3）医療分野への継続的な政府支援サイバー攻撃チームによるサイバー攻撃

（1）キャンペーン活動とは

図4　医療分野へのサイバー攻撃キャンペーンのイメージ

　攻撃を受ける側から眺めてみますと、医療分野の複数の医療関連機関が連続してサイバー攻撃を受けているように見えます。自組織だけでなく、同じ業種の他組織も同時にサイバー攻撃を受けている場合が多いのです。サイバー攻撃に対して自社で対策を進める自助だけでなく、他の同種組織との情報共有を進め、お互いに協力してサイバー攻撃に対処していく共助が非常に重要となります。

（2）セキュリティ脅威等の情報共有を推進している各種組織

（3）垂直・地域展開型情報共有コミュニィティーの提案

図5　垂直・地域展開型の情報共有コミュニティの例