昨年11月末に起きた徳島県の町立半田病院へのランサムウェア攻撃で院内のシステムが使えなくなり、休診の後、電子カルテシステムの復旧を諦め、新しいシステムに入れ替えることを決定。その間、紙のカルテに戻して診療を再開した事件は記憶に新しく、皆さまも覚えていることでしょう。原因は同院に情報システムを納入したベンダが、使っている米国の通信機器の製造メーカが攻撃される可能性を発見し、対策(パッチ提供)を行うようにとのアナウンスをしていたのに、これを怠った結果です。
真面目に保守していなかったとことがバレてしまいましたが、一般的に専門部署がなく、知識を持った専任要員の確保が難しい病院では、業者に丸投げしているのが現状です。丸投げされた業者は、意気に感じて微に入り細に亘って面倒をみればいいのですが、実態はその逆。イソップ物語の裸の王様に出てくる機織り職人のように、やったふりをして保守費をもらい続けることができす金づる(カモ)を確保したという感覚になっているようです。赤子の手をひねるように・・・
ランサムウェアとはシステムで持っている諸データを使えないようにして運用できなくし、修復して欲しいなら❝金よこせ❞というタチの悪いサーバー攻撃ですが、ここ数年はこの種の攻撃が増加しています。攻撃されると影響が大きいのは、鉄道、電力、銀行、自治体などの社会インフラとなっているシステムですが、患者の診察情報という究極の情報を扱う医療機関のシステムもターゲットになっています。IPAのホームページに米国の事例があったので紹介します。
情報系が止まる場合には、オーダができない/電子カルテが使えない/予約ができないなどに運営に影響が出ますが、制御系に支障が出る場合には、ペースメーカ、人工透析機、インスリンポンプなどの治療、検査用医療機器に影響が及び、患者の生命に直接影響してきます。千葉県を襲った台風により電力の供給が断たれた医療機関は大変な思いをしたことがありましたが、電気は自家発電や移動電源車から供給すれば当面の時間稼ぎができます。
しかし、ランサムウェアはじめコンピュータウイルスで機能不全に陥る事態の方が、物理的な電源被害よりも根深く深刻です。電源が断たれた場合には、供給が回復すれば元の機能を果たせるのに対し、コンピュータウイルス被害はシステムの機能を果たせなくするばかりか、他の正常に動いているシステムにまで影響を与えます。
一般的にサイバー攻撃の被害を受けないためには以下の方法を採ります。
①全てのパソコンにアンチウイルスソフト(ワクチン)を導入する
②アンチウイルスソフト(ワクチン)は常に最新の状態にしておく
③なりすましメールに気を付け不用意にメールを開かない
④応答要求メッセージに不用意に応答しない
⑤添付ファイルを開く際には、送信元を確認するなどの細心の注意
⑥.exeファイルは開かない(開く場合にはシステム部門、業者に聞く)
⑦知らないサイトにアクセスしない
⑧画面上の使ったことのないアイコンを不用意にクリックしない
⑨バックアップしたメディアはネットワークから切り離しておく
⑩サーバーはじめ通信機器を制御するソフトに変更があれば確実に実施する
⑪システムに接続されている医療機器の制御ソフトの変更時は病院側責任者を立ち会わせる
昨年11月、ランサムウェア攻撃を受け、電子カルテシステムが使えなくなった徳島県半田町の公立病院では、システムを納入し保守を受け持っていた業者が、使っている通信機器のメーカが脆弱性を解消するパッチ(修理用プログラム)を指示通りに実施していなかったことが直接的原因という調査結果が出ています(上記⑩)。また、北陸のある県では、医療機器の保守作業をした際、業者が使ったノートパソコンがウイルスに感染していて、そこから院内のシステムに感染してしまったという事件がありました(上記⑪)。
医療機関へのサイバー攻撃が多いのは、一般企業と違って患者の命を守ることが最優先されるため、要求に応じやすいと攻撃側は見ていると思います。
○医療機関が保有する情報は、個人情報の最たるもの
⇒価値が高い=要求に応じる可能性が高い
○暗号化され使えなくなると、即座に全ての院内業務が滞り、診察ができない
⇒従って取引に応じる可能性が高い
○防御体制(リスクを理解していない、要員、環境、予算)が不十分
⇒従って、侵入しやすい
これに加えて、システムを納入し保守する業者が専門知識を持たない病院を逆手に取って、防御に必要な管理・監視をやっていなかった半田町公立病院の例もあるということです。なかには、島津製作所の社員のように不具合でもないのにタイマを仕掛けておいて異常を発生させる細工までしたというトンデモナイ業者もいます。
医療機関では丸投げにせず、スタッフの教育をしてセキュリティの管理・監視を行う時代です。教育と言ってもセキュリティソフトを開発できるようにするというのではなく、セキュリティに関する一般的な知識なので、難しいことはありません。上掲の青字で示す①~⑪まで管理できれば問題ありません。あとはスキルを持ち、責任ある仕事をする信頼できる業者を選ぶことです。
※質問はosugisama@gmail.comにどうぞ!
※リブログを除き、本ブログの無断転載、流用を禁じます。