医事関連のテーマを中心に感じたこと、考えたことを綴っていきます

標的型攻撃メールにはどう対策するのか?【もはや対岸の火事ではない】

先日、多摩北部医療センターにて勤務する男性医師のパソコンがサイバー攻撃によるウイルスに感染し患者ら3671人の氏名や生年月日、病歴などの個人情報のほか、医療関係者ら1533人のメールアドレスが流出したした可能性がある、とのニュースがありました。

これは所属医師のパソコンが不正アクセスを受けメールアカウントが乗っ取られ、更に乗っ取られたメールアカウントから職員の名を語ったなりすましメールが送付されてもいたとのことです。

同センターではメールアドレス流出の懸念がある関係者1500名あまりにメール等で注意喚起し、またそれ以外の個人情報漏洩の可能性がある方々に電話連絡を進めています。

調べによると今回不正アクセスを受けた端末以外に8台にウイルス感染、10台に感染の疑いがあることが判明していおり更なる被害の拡大も懸念されています。

このような情報セキュリティにどう取り組んでいくのかは非常に大事な課題で以前にも記事に書きました

⇒⇒⇒情報セキュリティにどう取り組むべきか?

が今回は更に細部に渡って見ていきます。

標的型攻撃メールにどう対策するのか?

結論

個人的な対策では対応出来ません。組織的な取り組みが必須です。

標的型攻撃メールの特徴

そもそも標的型攻撃メールとは何かというと、標的型攻撃を行うメールということです。

それでは標的型攻撃とは何かというとターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃です。

そのターゲットに関して知り合いや関係者のふりをして悪意のあるファイルを添付したり悪意のあるサイトに誘導する為のURLリンクを貼り付けたメールを送信しパソコンをマルウェアに感染させようとする攻撃をいいます。

具体的には次の通りです。

1.メールの受信者に関係がありそうな送信者を詐称

2.添付ファイルや本文中のURLリンクを開かせる為、件名・本文・添付ファイルに巧妙に細工が施されている。実在の送信者と思わせるよう巧妙になりすましている。

3.業務に関係するメールを装ったり興味をひかせるような内容や添付ファイルの拡張子を偽装。

4.ウイルス対策ソフトで検知しにくい、または検知しないものがある。

これだけでなくまた、メールだけでなくOSやソフト、セキュリティソフトの更新の脆弱性、タイムラグを突いてインターネットに接続しただけで感染することもありこのため進入を100%防ぎ続けることは極めて困難です。

もはや個人で対策、対応出来るレベルを超えています。

そして1番やっかいなのがここまで聞いてもまだ対岸の火事と捉えているふしが医療関係者には多いということです。

情報セキュリティ

今1度情報セキュリティについておさらいをしておきます。

医療機関を取り巻く情報セキュリティ対策の現状

医療機関を取り巻く情報セキュリティ対策の現状現在厚生労働省も増加するセキュリティリスクに対しての情報セキュリティ対策に関する情報発信を行っています。

医療情報連携ネットワーク支援Navi → http://renkei-support.mhlw.go.jp/

この中で主な内容をピックアップしますと次のような事項となります。

1.情報セキュリティ対策はシステムを利用する全職員対応すべき問題

2.最初に講じるのは組織的対策となる情報システム部門、または担当者の設置

3.組織的対策を病院内部で講じることが難しい場合アウトソーシングサービスへの相談、委託を含めて対策の検討を行うことが望ましい

4.情報システム監査を受審することで情報システム運用管理に関する継続的な管理を実施することが望ましい

5.情報セキュリティ対策の必要性を理解し、経営層、情報システム部門、システム利用者について自らが継続的に対策を講じることが必要不可欠

最近の傾向

従来は職員のミス、内部不正が多く見られましたが近年は外部からの攻撃であるサイバー攻撃が急激に増加しています。

<従来多かった情報インシデント>

職員のミス

USB機器や端末の紛失

メールの誤送信

意図しないファイルのアップロード

外部のUSB機器、端末等の誤った接続

内部不正

職員による機密情報、個人情報等の持ち出し

外部業者等のミス

委託先業者の情報紛失、設定ミス等

<近年増加しているサイバー攻撃>

外部からの標的型攻撃

・保守端末、クラウドサービス等を経由した攻撃

・攻撃メールによるサーバーへに攻撃

外部からのランダム攻撃

・攻撃用WEBサイトからの攻撃

日本でも海外と同様にサイバー攻撃の事例が報告されてきており今後最悪の場合、システムの稼働停止などによる診療停止の可能性まで出て来ます。

現在、外部からの攻撃を受けた時には窓口に連絡、相談することが求められています。

サイバー攻撃時の相談窓口としては以下のものがあります。

厚生労働省

・医政局研究開発振興課医療技術情報推進室(03-3595-2430)

・参照先「医療情報システムの安全管理に関するガイドライン第5版 P.71」

独立行政法人情報処理推進機構(IPA)情報セキュリティ安心相談窓口
(03-5978-7509)

・コンピューターウィルスに関する届出について

・不正アクセス届出不正アクセスに関する届出について

・脆弱性関連情報届脆弱性関連情報に関する届出について

・安心相談窓口情報セキュリティ安心相談窓口

・特別相談窓口標的型サイバー攻撃の特別相談窓口

・情報提供受付情報提供受付について

顕在化する院内情報システムの脆弱性

医療情報システムは社会から求められる役割によって医療機関、保険制度、医療従事者が必要とする機能を追加しつつ進化してきました。

本体病院情報システムは病院内で完結するシステムとして構築されてきました。

従ってそもそも外部からの攻撃の想定を十分にしていませんでした。

近年情報通信技術の発達や地域連携の進展により情報の交換が院内で完結せず院外との医療情報の交換が行われることが多くなりました。

外部からの攻撃を十分に考慮していない為外部との情報交換が増えるにしたがって外部からの攻撃リスクが高まり外部からの攻撃に体する脆弱性が顕在化しました。

今後全国の医療機関との接続が実現すると十分な対策を講じない場合外部からの攻撃リスクも高まり自院の感染が他施設への波及するリスクが高まります。

対応の方向性

医療情報システムへのサイバー攻撃リスクの種類

・不正侵入 本来接続が許可されていない端末が診療系ネットワークに接続され医療情報システムに不正アクセスされる

・データの改ざん 業務端末やサーバのデータが不正い書き換えられる

 

・データの不正閲覧 データベースの操作コマンドが不正に実行され、データベースの情報が不正に参照される

・通信(パケット)偽装によるルーティングの変更 偽装された通信が業務端末やネットワーク機器に送信されることにより正規の通信が平常時とは異なった通信経路に変更される

・マルウェア攻撃 インターネットからのダウンロード、USBメモリ経由、添付等による侵入したマルウェアが実行され業務端末が乗っ取られる

・DoS攻撃によるシステムの停止 医療情報システムに対し、脆弱性を突いた攻撃や過剰な負荷がかかることで想定外の動作の発生によりシステムが停止させられる

・機密情報の流出 悪意のある第三者により機密情報が窃取されメールやUSBメモリ等の手段を用いて外部に持ち出される

経営層の認識

病院情報システムはもともと外部からの攻撃に体しては脆弱な傾向がありますが特にセキュリティ対策が経営課題として認識されていないことが問題となっています。

そして、自院の特長を踏まえたセキュリティ対策の方向性を打ち出す必要があります。

(例)

・大規模病院では院内で情報システム部門、内部監査室などの組織整備を実施

・中小規模病院ではまず兼務ではなく専任の担当者を配置し随時外部の情報セキュリティの専門家の活用を検討

・外部の情報セキュリティサービスの活用も検討

・システム導入時にシステムベンダーが提案するセキュリティ対策サービスの導入を検討

・セキュアなクラウドサービスの導入大事なことは医療情報システムの専門知識を有していない経営層や各部門長らがセキュリティ対策を経営課題と認識し教育を通して関心を持つことです。

次のようなことです。

・セキュリティ対策はシステム部門のみではなく経営層、各部門の連携が必須であることの認識

・医療機関への情報セキュリティの脅威の理解

・情報セキュリティインシデントが医療機関の診療継続に影響を与えることの理解

・職員の行動が情報セキュリティインシデントを引き起こす可能性があることの理解

・情報セキュリティ対策の全体像の理解

・特に組織的対策と人的対策についての理解

教育の実施、院内の共通認識・周知

セキュリティ対策には教育という側面が非常に重要です。

例をあげると標的型攻撃、標的型メールについては不正プログラムの実行をしないということ、すなわち添付ファイルやURLのクリック(不正サイトへの誘導リンク)の禁止、身に覚えがないものは決して開かない、クリックしないという認識を全職員が持つような勉強会なり研修を地道に行っていくことも必要です。

セキュリティに万全はない

最強のセキュリティなど存在しないということを知ることも大事です。

セキュリティには強いセキュリティと弱いセキュリティが存在します。

そして守るにも破るにも必要なリソースの量というのがあります。

かけるお金、時間、能力でセキュリティレベルというのは変わってきます。

ですので抜け道は必ず出て来ます。

技術的にも費用的にも情報セキュリティの事故の発生をゼロにすることは難しいのです。

コストパフォーマンスに合わないものは対策しないとの線引きをすることも必要です。

でないと果てしなくお金と時間が消費されてしまうからです。

ここではリスクの受容レベルを決めることが大切なのです。

つまり受け入れることが出来る損失のレベルを決めておくことが必要となるのです。

また予防や検知を組み合わせた階層防御の構築も必要です。

ここで言う予防とは事故が起こらない為の対策のことで、検知とは事故の発生に気付くための対策のことです。

例をあげるとホームページの改ざんという事象では予防は関係ソフトウェアを最新バージョンにする、や、最新セキュリティパッチの適用となり、検知とはアクセスログからの異常発見を行うなどとなります。

標的型攻撃メールの対策とは?

まず万全の対策などないということは事実として認識しておかなくてはいけません。

その上で「OSやアプリケーションを最新の状態にしておく」「セキュリティソフトを最新の状態にしておく」「怪しいメールは開かない」などの基本的な対策は必要です。

しかし標的型攻撃メールは個人ではもはや安全かどうかを見分けるのが非常に難しくなってきています。

そうなってきた時職員個人個人の判断、対応に委ねるのは非常にリスキーな訳です。

まして医療機関というところはウイルス対策は情報システムの部署の担当です、とほぼみんな思っています。

当事者意識はほぼないと思われます。

そしてニュースの出来事はあくまでニュースであり自分達には降りかかってこないと心のどこかで思っています。

これでは対策のしようもない訳です。

職員の行動が情報セキュリティインシデントを引き起こす可能性に大きく寄与しているという認識と理解を持ってもらう為の職員教育が急務です。

当事者意識を持ってもらった上で具体的な対策を学んでいってもらうことが非常に大事です。

そういう意味では情報システム担当者の役割というのがとても重要なのです。

全職員を巻き込んで情報セキュリティの対策に取り組んでもらわなければ対策をとっているとは言えないのです。

まとめ

ウイルス感染によって医療行為が出来ないということはもはや十分現実味のあることになってしまいました。

将来的に外部との接続を断って業務を行うなんてことは不可能な訳でむしろますます外部とのネットワークを構築していく必要が出て来ます。

そうした時に今回の多摩北部医療センターのような出来事に自院が遭遇したとしたら一体どうなるのか、そうならない為にはどう備えておくべきなのか、ということを十分に考えておく必要があります。

対岸の火事と思っていたらもう自分のとこが燃えていた、ではしゃれにもなりません。

今からでも十分に組織的にも物理的にも対策を練っておくことが肝要です。

特に中小の医療機関ではそれこそシステム担当者たった1人で全て対応しているという所もあろうかと思いますが、今は大変でも先々のことを考えると全職員への研修、周知を地道に進めて行くことも大切かと思います。

情報セキュリティの問題は全職員の問題なんだという認識をまず持ってもらうところから始めましょう。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です