医学界新聞


標的型攻撃とランサムウェアを中心に

寄稿 美代 賢吾

2021.03.08 週刊医学界新聞(レジデント号):第3411号より

あなたは,地域の中核的な医療機関で働く40代の医師である。臨床では中心的な役割を担い,研究でも学会発表,論文執筆と充実した日々を送っている。今年の学会発表は注目を集め,学術賞候補としてノミネートされた。それから数か月たったある日,一通のメール()が届いた。勉強熱心な大学院生であろうか。真摯な姿勢が文面から伝わってくる。あなたは,何の疑いもなく添付ファイルを開封してしまう。その結果起こることは……。

3411_0202.jpg
 ある医師に届いたメール
情報保護のため一部改変してあるが,黒塗り部分は全て実在の大学,人物,論文名が用いられている。

 このメールは,実在の医療機関のある医師に,実際に送付された標的型攻撃メールである。もし本稿の読者が標的型攻撃メールを受け取った経験がないのであれば,今はまだ幸運の中にいるか,ひょっとしたらすでに受け取り,開封したことにすら気付いていないのかもしれない。残念なことに,危険な標的型攻撃メールほど一般のウイルス対策ソフトで検出できないことを確認した上で送り付けるため,検出されない。メール開封前のまさにその機会を逃すと,情報漏洩が発覚するまで気付くことは難しい(註11)

 近年のサイバー攻撃は,情報または金銭の窃取を明確に意図して狙った攻撃であり,ビジネスとして行われている(註22)。情報処理推進機構(IPA)では,情報セキュリティ10大脅威2020,2021のトップにそれぞれ,標的型攻撃,ランサムウェア(ransom ware)を挙げている3)

 前者は情報窃取対象の組織を徹底的に研究し職員が開封しそうなメールを送り付け,それを足掛かりに組織内に侵入し情報を窃取する攻撃である。一方後者は,端末やデータベースを勝手に暗号化することで使用不能にし,暗号解除のための身代金(ransom)を要求するものである。保健医療分野での大きな事件としては,2015年の標的型攻撃メールによる日本年金機構の情報流出事件(影響額118億円)4),2017年のランサムウェアによる英国NHSの大規模なシステム障害(影響額9200万ポンド:約132億円)5)が挙げられる。

 COVID-19により各国の医療機関の逼迫した状況が世界的に注目された結果,皮肉にも医療機関に対するサイバー攻撃が増加し,国際刑事警察機構が注意喚起する事態に至っている6)。COVID-19に関する研究情報を窃取することや,24時間止めることが許されない医療機関の情報システムをロックし,身代金を得ることを目的とした活動である。

 実際,国立国際医療研究センター(NCGM)に対する各種サイバー攻撃も,2019年は月平均10万件程度であったものが,2020年は月平均44万件(直近の12月は80万件)と急増している。さらに,2020年9月には電子カルテシステムをロックされたドイツの病院で,救急の受け入れができず患者が死亡するという事件7)が発生した。最終的に死亡との因果関係は否定されたものの,サイバー攻撃による殺人事件として初の捜査が行われた。医療機関に対するサイバー攻撃の拡大は,情報,金銭を奪うだけでなく,患者の生命を奪う状況にまで進んでいる。

 は,NCGMに過去着弾した標的型に類するメール受信者の属性である。一般の職員に比べ管理的な職員に攻撃が偏っていることがわかる。これは,論文や業績リスト等で広くメールアドレスが公開されていること,管理職ほど情報にアクセスできる権限が広い可能性が高いことなどが関係していると思われる。医療分野は他分野に比べさまざまな情報がオープンにされており,公開情報を組み合わせれば簡単に標的型攻撃メールを作成できる。このような状況を踏まえると,管理者層の情報セキュリティに対する積極的な意識付けを含め,組織全体のセキュリティ意識を高めていくことが必要であろう。

3411_0203.jpg
 NCGMにおける過去30件分の標的型に類する攻撃メール受信者の属性

 一般的な注意喚起として,「不審メールを開かないように」というアナウンスが組織内でなされることがある。しかしこれは,ほぼ効果がない。なぜなら標的型攻撃メールは攻撃対象を十分に研究しており,受け取った側は不審と思わないからである。そのためNCGMでは「不審メール」という文言は極力使用せず,具体的なメール文面を共有し注意喚起を行っている。

 さて,冒頭に示したメールを見てみる。一見不審点がないメールだが,注意深く見てみると,違和感を覚える部分がある。まず,差出人のメールアドレスが大学などの組織のアドレスではなく,フリーメールである点。次に,公表論文に対する質問を,検疫装置をすり抜けるためにわざわざZIPで暗号化して送ってくる点。さらには「大学院医学部」という不自然な組織名,末筆ではなく末尾など,違和感を持つことができるだろう。まとめると,以下の特徴のあるメールは特に慎重な対処が必要であり,少しでも違和感を覚えた場合は,開封前に適切な部署に相談すべきである。

①業務メールなのに発信者がフリーメール(または見慣れないアドレス)
②添付ファイル付き(特にZIP形式で暗号化されたもの)
③メール本文中にクリックを促すメール(特にリンク先の末尾がjpでない海外のリンク先)

など

 NCGMでは,少しでも違和感のあるメールが届いた場合,誤報でも構わないので医療情報基盤センターへ連絡するようアナウンスしており,センターで調査の上,危険性を判定している。もし医療機関内に相談できる体制がない場合の一番確実な方法は,電話で発信元に直接確認することである。また,入り口の対策だけで完全に防ぐことは難しいため,万が一の流出やランサムウェアによりロックされる場合に備えて,重要なファイルを暗号化したり,バックアップを取っておいたりすることも個人でできる対策である。

 コロナ禍でリモートワークが進められ,クラウド環境の活用が進む。さらに医療では,オンライン資格確認や電子処方箋,PHR(Personal Health Record)など,外部ネットワークとの接続も開始目前である。つまり物理的遮断に頼った従来の情報セキュリティ対策は再検討されるべき時期に来ている。最近では組織内と組織外の境界線で防御するのではなく,利用者・端末の厳密な認証によるゼロトラストセキュリティ(註3)の考え方も広がってきた。医療機関は今後状況に合わせた新しいセキュリティ対策への注力が必要だろう。

 本稿で具体的な標的型攻撃メールの例を示したように,攻撃の情報を知っていればより対策も立てやすくなる。一般にサイバー攻撃は,ある分野・あるテーマに沿って,集中的に行われる傾向がある。業界全体でセキュリティ情報を共有することができれば,その情報をもとに先回りした対策を立てられる。筆者も協力しているが,厚生労働省は医療分野の公的情報共有組織の検討を始めており,研修および情報共有の試行を行っている(https://www.mhlw.go.jp/stf/cybertraining2020.html)。今後本格的に稼働した際には,各医療機関が積極的に参画することで,日本全体で医療機関の情報セキュリティを守る取り組みへと発展することを期待している。


註1:攻撃から情報流出発覚まで平均383日という調査結果もある。
註2:攻撃ツール提供と資金回収というエコシステムが構築され効率的に実施可能となっている。
註3:内部侵入を完全に防げない点や内部からの情報漏洩もあることから,内部は安全,外部は危険という考え方を排し,全て危険という前提で情報セキュリティを設計する手法。

1)Cyber Security Cloud.サイバー攻撃の発生から発覚・公表までの期間に関する調査レポートを発表.2020. 
2)経済産業省.最近のサイバー攻撃の状況を踏まえた経営者への注意喚起.2020.
3)情報処理推進機構.情報セキュリティ10大脅威 2021.2021.
4)会計検査院.年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について.2016.
5)Department of Health & Social Care. Securing cyber resilience in health and care. 2018.
6)INTERPOL. Cybercriminals targeting critical healthcare institutions with ransomware. 2020.
7)Jantje Silomon. The Düsseldorf Cyber Incident. 2020.

3411_0201.jpg

国立高度専門医療研究センター医療研究連携推進本部データ基盤課長/国立国際医療研究センター医療情報基盤センター長

1998年東大病院中央医療情報部に着任。神戸大病院医療情報部副部長,東大病院医療機器・材料管理部副部長,ドイツPLRI医療情報学研究所客員研究員を経て2013年東大病院企画情報運営部部長・准教授。15年より国立国際医療研究センター医療情報基盤センター長。博士(医学)。