人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は？ 主な手口と有効な対策とは？ Microsoftがレポート：魅力的な標的である理由

Microsoft Threat Intelligenceは、「US Healthcare at risk: Strengthening resiliency against ransomware attacks」（危機にひんする米国の医療：ランサムウェア攻撃に対するレジリエンスの強化）と題したレポートを発表した。

[＠IT]

　Microsoft Threat Intelligenceは2024年10月22日（米国時間）、「US Healthcare at risk: Strengthening resiliency against ransomware attacks」（危機にひんする米国の医療：ランサムウェア攻撃に対するレジリエンスの強化）と題したレポートを発表した。

　同レポートでは、米国の医療機関に対するランサムウェア（身代金要求型マルウェア）攻撃の脅威の状況を報告し、医療機関が狙われる理由、ランサムウェア攻撃の主な手口、対策に有効な集団的防御のアプローチ、レジリエンス（回復力）強化戦略について解説している。医療機関がランサムウェア攻撃の脅威に対処するための洞察を得るとともに、どのように防御を向上させるかを理解するのに役立つ内容となっている。

調査で分かった身代金の平均支払額や損失額

　レポートの概要は以下の通り。

　2020年以前は、教育機関や公共インフラ、医療機関には攻撃を仕掛けないというのが、脅威アクターの暗黙のルールだった。だが、そのルールはもはや消滅し、過去4年間で、医療機関を取り巻く脅威状況は大きく悪化している。

• 医療は、2024年第2四半期に最も標的とされた業界のトップ10の一つであり、過去4四半期もそうだった（Microsoft Threat Intelligence。2024年4月）
• ランサムウェア攻撃は被害額が大きく、医療機関はダウンタイムだけで1日平均90万ドルの損失を被っている（Comparitech。2024年9月）
• 最近の調査では、身代金を支払ったことを認め、支払額を公表した99の医療機関の平均支払額は440万ドルだった（HIPAA Journal。2024年9月）

ランサムウェア攻撃が医療機関に与える深刻な影響

　ランサムウェア攻撃は、医療機関にとって潜在的な金銭リスクが高いだけでなく、人命を危険にさらす。医療機関がランサムウェア攻撃を受けて医療機器を使えなくなったり、患者の医療記録にアクセスできなくなったりすると、医療に支障を来してしまうからだ。そのしわ寄せが近隣の医療機関や診療所、住民に及ぶ場合もある。その結果、地域社会に甚大な打撃を与える恐れもある。

医療機関が脅威アクターにとって魅力的な標的である理由

　医療機関は、ランサムウェア攻撃で人命が危険にさらされる上、機密性の高い患者データが流出するリスクもあるため、巨額の身代金の支払いに応じる可能性がある。それがランサムウェア攻撃者に狙われる大きな理由だ。

　また、医療機関は他業種と比べて、こうした脅威を防ぐためのセキュリティリソースやサイバーセキュリティへの投資が限られている。サイバーセキュリティ専門スタッフがいないことが多く、最高情報セキュリティ責任者（CISO）や専用のセキュリティオペレーションセンターを設けていないケースもある。これは医師、看護師など医療担当者のサイバーセキュリティ認識やトレーニングの不足にもつながっている。

医療機関に対するランサムウェア攻撃の主な手口

　医療機関に対するランサムウェア攻撃の一般的な手口は2つある。1つは、まずフィッシングメールやテキストを使ったソーシャルエンジニアリングにより、医療機関のネットワークにアクセスし、次に、そのアクセスを利用してランサムウェアを展開し、医療システムやデータを暗号化してロックし、身代金を要求するというものだ。

　もう1つの一般的な手口は、サイバー犯罪のビジネスモデルとして人気が高まっている「サービスとしてのランサムウェア」（RaaS）を利用することだ。RaaSは、恐喝ツールを開発する運営者と、ランサムウェアを展開するアフィリエイトが契約する。両者は、ランサムウェアによる恐喝の成功によって利益を得る。

　このモデルは、独自ツールを開発するすべを持たないサイバー犯罪者が、悪質な活動を開始することを可能にする。時にはこれらの犯罪者が、ネットワークに侵入済みのサイバー犯罪グループからネットワークアクセスを購入することもある。

サイバーレジリエンスと可視性を高める集団的防御アプローチ

　Microsoftは、全ての医療機関が強固なサイバーセキュリティチームを擁しているわけではなく、サイバーセキュリティレジリエンス戦略を可能にするリソースを持っているわけでもないことを踏まえ、「コミュニティーが一丸となり、ベストプラクティス、ツール、ガイダンスを共有することが重要だ」と述べている。その上で、医療機関が地域、国およびグローバルな関連機関と協力することを推奨する。

　Microsoftはそうした機関の一つとして、脅威情報を交換するためのプラットフォームを医療機関に提供しているHealth-ISAC（Information Sharing and Analysis Centers）を紹介している。

　さらにMicrosoftは、医療スタッフの間でセキュリティを第一に考える意識を醸成することや、医師や看護師が実際のサイバー攻撃シナリオに触れるような、忠実度の高い臨床シミュレーションを実施することも勧めている。

　またMicrosoftは、米国でコミュニティーに重要なサービスを提供している地方の医療機関向けに、「Microsoft Cybersecurity Program for Rural Hospitals」を創設している。このプログラムは、Microsoftのセキュリティソリューションを手ごろなコストで利用できるようにし、サイバーセキュリティ能力の向上とイノベーションを通じた根本的課題の解決を支援するものだ。

　最後にMicrosoftは、サイバーセキュリティリソースを有する医療機関向けに、ランサムウェア攻撃に対するレジリエンスを高める方策として以下を挙げ、それぞれに関するガイダンスを提供している。

• 強固なガバナンスの枠組みを確立する
• インシデント対応と検知の計画を策定する。そして実際の攻撃を想定し、その実行の準備を整える
• 継続的なモニタリングとリアルタイムの検知機能を導入する
• 「Be Cybersmart Kit」を使用して、サイバーセキュリティ教育を行う
• レポートに記載のレジリエンス戦略を活用する