病院を狙うランサムウェア攻撃と対応・調査方法|サイバーセキュリティ.com

病院を狙うランサムウェア攻撃と対応・調査方法

本コンテンツには広告を含み、本コンテンツを経由して商品・サービスの申込みがあった場合、提携している各掲載企業から送客手数料を受け取ることがあります。

近年、インターネット上でのセキュリティの脅威が増加しており、その中でも特に注意が必要なのが「ランサムウェア」です。

特に病院を標的としたランサムウェア攻撃は、医療データや患者情報を暗号化し、大きな損害を与えかねません。したがって、被害を最小限に抑えるためには、適切な初動対応が不可欠です。

この記事では、病院を狙うランサムウェア攻撃への対応策と、効果的な調査方法について詳しく解説します。

ランサムウェアの危険性について

ランサムウェアは、コンピュータシステムやデータを暗号化し、アクセスを封じて身代金を要求する悪意あるソフトウェアです。もし感染すると、データ喪失や業務停止など諸々の影響が懸念されます

特に病院でのランサムウェア被害は、重大な影響をもたらす可能性があります。たとえば医療データにアクセス不能となると、患者の情報や治療計画へのアクセスが困難になり、手術や治療の遅延が生じるかもしれません。

また薬剤管理や供給、治療法の選択や病状のモニタリングにも混乱が生じ、患者の安全と健康に影響を及ぼす可能性があります。特に患者情報はセンシティブな個人情報として「要配慮個人情報」に区分されます。(要配慮個人情報の漏えい等は、いわゆる「個人情報保護委員会」への報告及び本人への通知が義務化されています)

したがって、病院はランサムウェア被害に遭遇した場合、サイバーセキュリティ専門家への適切な調査依頼と、関係各所への報告、そして再発防止に向けた危機管理体制の構築を急務としてとらえる必要があります。

出典:個人情報保護法委員会

病院のランサムウェア被害が年々増加している

病院のランサムウェア被害は年々増加しています。その理由はいくつかあり、主に下記がその要因と考えられています。

  • 患者の個人情報や医療データを扱うため、サイバー攻撃の標的になりやすい。
  • ITシステムに多くの投資を行っているが、セキュリティ対策は十分ではない。
  • 24時間365日、患者の診療を継続しなければならないため、システム停止の影響が大きく、身代金を安易に支払いやすい

これらの要因が組み合わさり、病院のランサムウェア被害が増加していると言えます。

また病院には患者の健康情報や医療記録など、非常に価値の高い個人情報が集積されており、このような情報はダークマーケットと呼ばれるインターネットの最深部で高値で取引されるため、攻撃を誘発しやすいとされています。

【2023年最新】ランサムウェア被害を公表した病院 | 狙われた脆弱性

下記はランサムウェア被害を公表した代表的な病院です。ここでは攻撃に遭った顛末と、悪用された脆弱性を詳しく見ていきましょう。

  • 徳島県つるぎ町立半田病院
  • 大阪急性期・総合医療センター
  • 奈良県宇陀市立病院

①徳島県つるぎ町立半田病院

2021年10月31日、徳島県つるぎ町立半田病院はランサムウェア感染の被害を受け、攻撃者から「データの復元には身代金を支払え」と要求される事態に直面しました。この攻撃により、院内のシステムが麻痺し、診療報酬計算や電子カルテ閲覧に必要なデータが利用できなくなり、新規外来患者の受け入れも停止しました。

状況の収拾には相当の時間がかかり、通常の診療が再開されたのは2022年1月4日でした。システムの復旧には約2億円という膨大な費用がかかり、さらに診療報酬の減収も数千万円に及びました。

2022年6月7日、この一連の出来事に対する対応と教訓をまとめた「有識者会議調査報告書」が公開されました。この出来事は、医療機関がランサムウェア攻撃による影響から回復する過程で直面する困難さや、その復旧に伴う経済的負担の大きさを浮き彫りにした事例と言えます。

感染経路:米Fortinet社製のVPN装置が更新されていなかった

侵入経路としては、導入している米Fortinet社製の仮想プライベートネットワーク(Virtual Private Network、通称:VPN)装置の脆弱性を悪用して侵入したものと思われます。

なお、当病院で使用されていたVPN装置は、導入当初からソフトウェアの更新が行われておらず、2021 年の夏に日本国内でも話題になった「CVE-2018-13379」(Fortinet社製FortiOSのSSL/VPN機能の脆弱性)が放置された状態であり、この脆弱性を悪用して侵入した可能性が高いと考えられます。

②大阪急性期・総合医療センター

2022年10月31日、大阪急性期・総合医療センターでランサムウェア被害が発生しました。この事件は、給食事業者を介したサプライチェーン攻撃であり、前述した徳島県つるぎ町立半田病院と同様のVPN装置の脆弱性を悪用され、侵入された形となりました。

この攻撃により、電子カルテシステムは完全に復旧するまで2ヶ月以上を要しました。被害額は、調査と復旧に費やされた数億円以上に上り、診療制限による逸失利益は数十億円以上にも及びました。しかしながら、幸いなことに本事故による死者は出なかったとのことです。

③奈良県宇陀市立病院

2018年10月16日、宇陀市立病院は深刻なランサムウェア被害に見舞われました。

この攻撃により、医療情報システムは一時的に使用不能となり、さらに一部の患者カルテ情報が暗号化されました。被害の拡大を受け、病院は原因分析と再発防止策のために調査委員会を設置し、提言をまとめました。

このランサムウェアの種類は「GandCrab」(現在は配信終了)であり、感染範囲は電子カルテを含む診療部門サーバ4台、診療部門端末2台、ウイルス対策サーバ1台、そして看護部門サーバ1台に及びました。

感染経路:消失

事態を収拾するため、病院はシステムの復旧を優先しました。しかし、この過程で証拠保全が行われないまま医療情報システムの再セットアップが行われたため、結果として感染経路が不明瞭となり、正確な原因究明が難しい状況が生じました。

この出来事は、医療機関におけるランサムウェア攻撃の厳重な警戒と、攻撃発生時には証拠保全を含む適切な対応が不可欠であることを示す重要な事例と言えるでしょう。

出典:宇陀市

ランサムウェア感染時に有効な調査手法とは

2022年、改正個人情報保護法が施行されました。これによりデータ漏えいの恐れがあり、個人の権利・利益を害する恐れが大きい場合、個人および委員会への報告・通知が義務化されました。

そのため、企業や組織はランサムウェア攻撃によって情報漏えいが生じた場合、どの情報が漏えいしたのか、どのようにして漏えいが起きたのかを調査することが必要です。

2022年4月に施行された改正個人情報保護法とは

2022年4月に施行された改正個人情報保護法では、法人が所有する個人データに関して、漏えいや不正流用があった場合に報告・通知が必要になりました。もし措置命令の違反や個人情報の不正流用が起こった場合、最高で1億円の罰金が科せられる可能性があります。

したがってランサムウェア感染時には、専門業者に相談し、報告・通知を行う必要があります。調査の実績が豊富な専門業者に相談することで、法執行機関や公的機関でも使用可能な報告資料が作成され、法的リスクが軽減されます。

この場合、フォレンジック調査の専門家に依頼することが重要です。

フォレンジック調査は、デジタル機器のシステム内部やログを解析し、攻撃の手法や侵入経路を特定するプロセスです。これにより、将来の防御策やセキュリティ強化に活かすことができます。

フォレンジック調査
フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。

フォレンジック調査の専門業者に相談することで、次のメリットがあります。

  • 専門的な知識と経験により、効率的に調査を行うことができます。
  • 法的にも問題のない方法で調査を行うことができます。
  • 調査の結果を証拠として使用することができます。

たとえば専門家の場合、システム内部やログを解析し、攻撃の手法や侵入経路を特定することができます。これにより、将来の防御策やセキュリティ強化に活かすことができます。特に環境復旧から調査まで一貫相談できる会社に相談することで、ランサムウェア感染に迅速かつ効果的に対処できるでしょう。

ただし、ランサムウェア被害の全般的な調査・解析には高度な技術が必要であり、信頼できる業者も限られます

そこで信頼できる専門家や業者を選ぶ際には、以下のポイントに注意することが重要です。

信頼できるランサムウェア調査会社を選ぶポイント

  • 官公庁・捜査機関・大手法人の依頼実績がある
  • スピード対応している
  • セキュリティ体制が整っている
  • 法的証拠となる調査報告書を発行できる
  • データ復旧作業に対応している
  • 費用形態が明確である

上記のポイントから厳選したおすすめの業者が、デジタルデータフォレンジックです。

デジタルデータフォレンジック

デジタルデータフォレンジック公式ページ公式HPデジタルデータフォレンジック

✔警視庁への捜査協力を含む、累計24,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)データ復旧専門業者とは、自社及び関連会社の製品以外の製品のみを対象に保守及び修理等サービスのうちデータ復旧サービスを専門としてサービス提供している企業のこと。第三者機関による、データ復旧サービスでの売上の調査結果に基づく(算出期間:2007年~2020年)

デジタルデータフォレンジックは、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。累計2.4万件以上の相談実績を持ち、大手企業や警察からの捜査依頼も多数解決しているため、実績・経験は申し分ないスマホのハッキング調査対応業者です。

調査・解析専門のエンジニアとは別に、相談窓口として調査専門アドバイザーも在籍しており、年中無休で対応しているため、初めて調査を依頼する場合でも安心して相談することができます。なお、法人/個人を問わず対応しており、見積まで無料のため費用面でも安心といえます。

ランサムウェアに感染したときの対応

ランサムウェアに感染した場合、即座の対処が必要です。以下は、具体的な対応策です。

  • 【前提】身代金は支払わない
  • 感染システムを切断・隔離
  • 関係者にインシデント通知
  • バックアップの確認
  • ランサムウェア感染調査に対応した専門業者の支援確保/攻撃の経路と影響範囲の特定
  • 通信トラフィックと不正アクセスの解析
  • マルウェアの機能・通信先の解析
  • リストア・復旧計画の策定

【前提】身代金は支払わない

ランサムウェアに感染した場合、身代金を支払うことは避けるべきです。

支払っても解除される保証はなく、むしろ犯罪者の資金源となる可能性があります。

感染システムを切断・隔離

感染したシステムを即座にネットワークから切断し、他のシステムとの接続を遮断することが必要です。これによって感染の拡散を防止し、被害の最小限化につながります。

関係者にインシデント通知

組織内の関係者、特にセキュリティチームや経営陣に即座にインシデントを通知し、状況を共有することが重要です。迅速な情報共有は対応のスピードを向上させるための重要なステップであり、これにより対策や対応が遅れることを避けることができます。

バックアップの確認

バックアップは、被害を最小限に抑えるために必要なものです。

ランサムウェアに感染する前に、定期的なバックアップを取得して検証することが重要です。もし感染前のバックアップがあれば、適切にデータを復元することができます。

ランサムウェア感染調査に対応した専門業者の支援確保/攻撃の経路と影響範囲の特定

ランサムウェア感染調査に対応したフォレンジック専門家では、感染したコンピュータの解析を行い、感染した経路や手法はもちろん、システムやデータがどのような影響を受けたかを特定することができます。

この結果、企業はランサムウェア攻撃の被害範囲を正確に把握し、対応策を検討することができます。

通信トラフィックと不正アクセスの解析

攻撃者の通信トラフィックや不正アクセスを解析し、その手法や目的を理解することが必要です。これによって、今後同様の攻撃が発生することを防止することができます。

マルウェアの機能・通信先の解析

感染したマルウェアの機能や通信先を詳細に解析し、その特性を把握することが必要です。

これによって、今後同様の攻撃が発生することを防止することができます。

リストア・復旧計画の策定

最終的にバックアップを使用してシステムをリストアし、復旧計画を策定することが必要です。

なお、事前に復旧計画を事前に準備しておくことで、被害を最小限に抑えることができます。

おすすめのランサムウェア調査業者

ランサムウェア調査はまだまだ一般に馴染みが薄く、フォレンジック調査会社選びの際もどのような判断基準で選定すればよいか分からない方も多いと思います。

そこで、対応領域や費用・実績などを踏まえ、数十社以上の中から見つけたおすすめの調査会社を紹介します。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは、国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。累計2.4万件以上の相談実績を持ち、サイバー攻撃被害や社内不正の調査経験が豊富な調査会社です。

調査・解析専門のエンジニアとは別に、相談窓口としてフォレンジック調査専門アドバイザーが在籍しています。
多種多様な業種の調査実績があり、年中無休でスピーディーに対応してもらえるため、初めて調査を依頼する場合でも安心して相談することができます。

また、警視庁からの捜査依頼実績やメディアでの紹介実績も多数あることから実績面でも信頼がおけます。法人/個人問わず対応しており、見積まで無料のため費用面も安心です。法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで、幅広い対応を可能としている汎用性の高い調査会社です。

費用 ★相談・見積り無料 まずはご相談をおすすめします
調査対象 PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス データ復元、退職者調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、労働問題調査、データ改竄調査、サイバー攻撃被害調査、マルウェア・ランサムウェア感染調査など
特長 官公庁法人・捜査機関への協力を含む、累計32,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧サービスを保有する企業が調査(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)

まとめ

今回は、病院におけるランサムウェアの被害事例や有効な調査手法について解説しました。

ランサムウェアに組織が感染すると、業務停止や再攻撃など大規模な被害を受け続ける恐れがあります。特に病院はセンシティブ情報を多く取り扱っているため、インシデントの有無にかかわらず、適切な対応・対策がマストとなります。最悪の事態を防ぐためにも、インシデントが起こってしまった場合は、フォレンジック調査をおこなうことを推奨します。

  • 中小企業の情報瀬キィリティ相談窓口[30分無料]
  • 情報処理安全確保支援士(登録セキスペ)募集
  • サイバー保険比較
  • 【企業専用】セキュリティ対策無料相談