相次ぐランサムウェアによる医療機関へのサイバーテロ、
どう対応するべきなのか

.

政策提言委員・経済安全保障マネジメント支援機構上席研究員 藤谷昌敏

 つるぎ町立半田病院(徳島県)は2022年1月、過去に受けたランサムウェアによる被害から復旧し、通常診療を再開したと発表した。この半田病院は、2021年10月にランサムウェアに感染し、約85,000人分の電子カルテが暗号化されたほか、英語で書かれた脅迫文が院内のあらゆるプリンターから大量印刷された。さらに診療報酬計算や電子カルテ閲覧システムが使用不能になり、紙カルテで代用するなど事務関係も大きな障害を受けた。当時、半田病院は犯人からの脅迫行為に応じず自力でのデータ復旧を選択し、同院は2021年12月29日に被害サーバーを復旧して正常な運営に戻っている。そのシステムの修復額は2億円と言われている。
 半田病院を攻撃したのはランサムウェアと言われるサイバーテロで、これまでも病院関係などに対する複数の攻撃事例が確認されている。
 
<ランサムウェアとは>
 システムへの不正侵入で盗んだデータを暗号化して使えなくし、復元する代わりに身代金を要求するマルウイルス。2021年5月の米国コロニアル・パイプラインの被害では、ガソリンの供給不足が生じ、運営企業は暗号資産で約5億円分を支払った。2020年の世界での被害額は4億ドル(約450億円)に上るとされる。
 
医療機関にランサムウェアによるサイバーテロが続発
①福島県立医科大付属病院事件(福島市)
 2020年12月、福島県立医科大付属病院は、2017年8月に当時世界的に流行していたウイルス「ワナクライ」に感染して被害が出ていたことを発表した。当時、福島医大病院の放射線科など複数の施設で、突然、パソコン画面に「データを回復させたければビットコインを支払え」との英文が表れ、パソコンがフリーズした。病院側は「身代金」の要求には応じず、データの復元を断念し、ウイルス感染が原因でレントゲンやコンピューター断層撮影装置(CT)の撮影データを保存できなかった一部の患者については、経緯を説明しないまま撮影し直していた。病院側は、ウイルス感染は電子カルテシステムには及ばず、病院は患者情報などの外部漏洩はなかったと判断し、対外的な公表を見送り、厚労省や警察にも被害届は提出しなかった。感染したパソコンや医療機器は業務再開を優先して初期化し、感染経路などを特定する詳しい調査は行わなかったとみられる(2020年12月4日付『日経新聞』)。
 
②宇陀市立病院事件(奈良県)
 2020年2月28日、宇陀市立病院は、同院で2018年に発生した電子カルテシステムを巡るトラブルに関する報告書を公表した。報告書によると、宇陀市立病院は2018年10月1日、総額4億3,200万円を投じて、業務効率化を目的に電子カルテシステムを導入した。トラブルが発生したのは10月16日のことであり、電子カルテシステムの管理画面にウイルスの感染とデータの暗号解除のための身代金を要求するメッセージが表示され、ランサムウェアに感染していたことが判明した。ベンダー担当者が感染範囲を確認したところ、電子カルテを含む診療部門システムのサーバーが4台、診療部門のクライアント端末が2台、ウイルス対策サーバー1台、看護部門サーバー1台が感染しており、患者3,835人の診療記録のうち1,133人分のデータがランサムェアによって暗号化された。その後の調べで、感染したランサムウェアは2018年に世界中で多くの被害が発覚した「GandCrab(ガンクラブ)」だと分かった。導入するウイルス対策ソフトが最新の状態ではなかったことや、最新だったとしてもこのランサムウェアを検知できなかったことも判明した。また、データのバックアップに失敗していたため復旧に時間がかかり、システムログを誤って消去したため、感染経路の特定もできなかった。ルールも含めたシステム運用の不備が問題を一層深刻にした(2020年2月28日付「宇陀市報告書」)。
 
③市立東大阪医療センター事件(東大阪市)
 2021年6月22日、市立東大阪医療センターは、5月31日に医療用の撮影画像参照システムがダウンした件について調査を進めた結果、原因は、病院内サーバーへの不正アクセスだったことが判明したと発表した。代替サーバーを立ち上げて稼働を再開しているものの、再稼働前の画像データは閲覧できないままだとしており、通常通りの診察を行うことが困難として、患者が他の病院に行かざるを得ない状況も発生した。
 同センターが感染したランサムウェアは「REvil(レビル)」と言われる。米大手ネットワーク・セキュリティー会社フォーティネットの「フォーティOS」というセキュリティーソフトの脆弱性を狙い撃ちした攻撃で、米国の医療機関からも被害が報告されている(2021年7月19日付「エコノミスト」オンライン)。
 
サイバーセキュリティに重要な情報の共有化と官民連携
 福島県立医科大付属病院の例では、ランサムウェアによるサイバー攻撃を受けたことが明らかでありながら、専門家による感染経路の調査をすることなく、外部漏洩がないなどと判断し、厚労省にも警察にも報告しなかった。また、この病院内のネットワークはインターネットに接続していなかったため、病院内外の悪意ある第三者によりランサムウェアに感染した可能性があり、事件発生時に捜査をすることで加害者を特定できたかもしれない。さらに公表することで他の病院に注意喚起を促し、被害の拡大を防止できた可能性もある。
 これらサイバーテロ事件の例を見れば、ランサムウェアが単に金銭の奪取を意図するだけではなく、病院の診療機能の妨害を狙ったものだということが分かる。こうした深刻な被害を与えるランサムウェアの攻撃を防止するためには、その手口や感染経路などを分析し、官民で情報共有化を図って連携を強化することが重要だ。
 このような状況を受けて、日米両政府は、ランサムウェアによるサイバー攻撃を安全保障上の脅威と認識し、「日米間で被害事例を迅速に共有し、安保上の脅威にあたる事例を共同で分析する」「米国と連携してハッカー集団の身元確認や対抗策を講じる」「企業などの攻撃に対する強靱性を高める」などで連携を深めるとしており、各企業や病院はサイバー攻撃が単に一企業、一病院の問題ではないことを強く自覚して対処するべきだ。