SOMPO CYBER SECURITY
当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。
今回は当社の「医療機関向けサイバーリスクマネジメントサービス」で技術提携をしているMEDIGATE社のブログ『医療現場のセキュリティ脅威 2021年の振り返り』を紹介します。
海外の動向を踏まえた内容となっていますが、日本の医療現場のみなさまには、サイバーセキュリティ対策の参考としてご活用いただければ幸いです。
Yuval Halaban@Medigate | 2021年12月21日
世界規模のパンデミックに対応するため、医療現場ではこの2年近く、さまざまな試練を乗り越えてきました。このような緊急事態においては、サイバー攻撃もなりを潜めるのかと思うのは残念ながら甘い考えで、彼らは休む間もなく攻撃を続けています。
医療機器のサイバーセキュリティソリューションを開発するMEDIGATEでは、医療現場で留意すべき脆弱性とサイバー攻撃を一覧にまとめました。すべてを網羅しているわけではありませんが、医療機器に対する攻撃の傾向や2021年に見られた重要課題を振り返るための素材としてお使い頂ければと思います。
より良い治療、より良い病院運営を目指し、ネットワークに繋がったいわゆるIoMTと呼ばれる医療機器は増加し続けています。それに伴い、医療現場のIT環境は目まぐるしい発展を遂げており、IoMTは2025年までにさらに42%の成長が見込まれています。しかし、ネットワークに繋がる機器の数が増えれば増えるほど、その分、アタックサーフェス(攻撃の対象となる領域)も増加しているわけで、侵害や病院の運営や患者の命に係わる治療の中断を避けるために、より一層のセキュリティ対策が求められています。
2021年 医療機関に対するサイバー攻撃は前年比でなんと約40%も増加したと言われています。
今や医療機器は攻撃対象の一つであり、セキュリティ対策には注意と専門的なスキルを要します。脆弱性一つ一つ、またサイバー攻撃の一つ一つには異なる特徴が見られますが、分析をしてみると、類似点があるのもわかります。IoMTの脆弱性やプラットフォームの脆弱性、およびよりセキュリティ対策が未熟なサードパーティを介して発生した医療機器に対する攻撃であるという類似点です。
このレポートでは、攻撃の傾向からわかる2022年に取るべきセキュリティ対策のヒントをまとめました。
日本語版は一部抜粋のため、英語版のフルバージョンをご覧になりたい方はこちら
Top Healthcare Cybersecurity Threats of 2021
データは、MEDIGATEが使われている、1,000施設を超える医療施設に接続されている1,000万台を超える医療機器の実データに基づいています。
医療機器の特定の脆弱性を悪用する攻撃では、攻撃者がいかに明確な動機に基づき、慎重に手はずを整えているかがわかります。特定の機器を攻撃するには、それなりのスキルや専門知識、準備が必要で、金銭的にそれだけの価値があることの表れでもあります。
対策としては脆弱性のある機器にパッチを適用すればよいだけではあるのですが、医療機器では可用性が重視されるため、バージョンアップによる悪影響を懸念したり、基本的にバージョンアップは製造業者によって実施される場合もあったり、軽微変更の範囲を超える場合は変更申請の対象となるなど、さまざまな理由から後回しにされがちであり、結果として攻撃者に攻撃のチャンスを与えるとこととなります。一般的なIT機器とは異なる医療機器の危険性を理解することは、今後の医療機関におけるセキュリティ担当者にとって重要なテーマとなるでしょう。
2021年8月、米セキュリティベンダーのマカフィーは薬剤や栄養の自動投与といった患者の治療のため、世界中の医療現場で広く使用されているビー・ブラウン社製の輸液ポンプの2つのモデルに5つの脆弱性を特定しました。重要、かつ生命維持に必要な薬剤の投与にも使用されています。攻撃者は、脆弱性を悪用することで機器の設定を遠隔操作で変更することができます。その結果、不適切な処方となることで被害を引き起こす可能性があり、攻撃者に身代金の支払いを強要される可能性もあります。
ネットワークを保護するためには
2021年6月、MEDIGATEはウェルチ・アレン社製のモニタと医療機器管理ツールにおいて脆弱性を検出しています。医療現場では血圧、脈拍数、体温を監視し、臨床で不整脈などを通知するために使われています。発見された、メモリ境界外書き込みと読み取りの脆弱性が悪用されると、攻撃者はメモリを破損させ任意のコードを遠隔で実行することができ、それによって機器の完全性が損なわれ患者の治療に影響を与える恐れもあり、攻撃者に身代金の支払を強要される可能性があります。
ネットワークを保護するためには
2021年、広く使用されているプラットフォームでリスクの高い脆弱性が公表されました。攻撃者は連携して運用されているプラットフォームの脆弱性を狙うことで、プラットフォームに依存する関連機器など、広範囲に影響を与える可能性があることを知っています。これらのプラットフォームではアップデートがリリースされていますが、どの機器がどのOSを使用しているか、詳細が把握されていないケースも少なくなく、多くの機器が重要なアップデートが施されないまま、放置され、危険にさらされている可能性があります。
2021年12月9日、通称Log4Shellと呼ばれるこの脆弱性CVE-2021-44228がApache Log4jのバージョン2.0から2.14.1において公表され、IT業界がパニックとなりました。 Log4Shellは、脆弱性の重要度を示すCVSSの最高スコアである10がつけられています。オープンソースのロギングライブラリ Apache Log4jを使用するアプリケーションやクラウドサービス、Webサイトなどに影響が及びます。
このため、各企業はシステムや製品のうち、どこに影響が及ぶ可能性があるのかを判断しなければならず、SBOM(ソフトウェア部品表:ソフトウェアコンポーネントとその内容)の重要性が注目されています。
医療現場も同じことで、医療機器の多くが影響を受けています。詳細については、MEDIGATEのブログを参照してください。追加情報があり次第、随時更新されます。
ネットワークを保護するためには
2021年11月、MEDIGATEとフォアスカウト社の研究チームは、医療機器で利用されているシーメンス社のリアルタイムOSであるNucleusのTCP/IPスタックに影響を与える13の新たな脆弱性を発見しました。総称してNUCLEUS:13と呼ばれています。これらの脆弱性のうち、以下6つのCVEは、CVSSスコアで危険度が9以上であり、高いとされているものです:
CVE-2021-31890(9.1) |
CVE-2021-31346(9.1) |
CVE-2021-31345(9.1) |
CVE-2021-31889(9.1) |
CVE-2021-31884(9.8) |
CVE-2021-31886(9.8) |
医療現場でも麻酔器や患者モニタ、Cアームなどの医療機器に使われています。
これらの脆弱性が悪用されると、遠隔操作によるコードの実行、DDoS攻撃、および情報漏えいが発生する可能性があります。
ネットワークを保護するためには
2021年4月、マイクロソフト社はQNX、VxWorks、MQXを含むサポートライブラリと複数のリアルタイムOSに「BadAlloc」と総称される25の脆弱性を発見しました。
医療機器においてもこれらのOSが広く使用されており、Cアーム、免疫測定装置、ロボット手術システム、輸液ポンプ、ナースコールシステムなどの製品に影響を与える可能性があります。うち、6つの脆弱性は「クリティカル」と評価され、CVSSスコアは9.8となります。これは、遠隔操作により攻撃者がそれらの脆弱性を悪用できるためです。米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)によると、これらの脆弱性が悪用されると、クラッシュやリモートコードのインジェクションや実行などの予期しない動作が発生する可能性があります。
CVE-2021-31571 |
CVE-2021-31572 |
CVE-2020-35198 |
CVE-2021-3420 |
CVE-2021-26461 |
CVE-2021-22156 |
上記の医療機器は、ヘルスケアエコシステムにおいて重要な役割を果たし、いかなる中断も治療の妨げとなる可能性があります。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、医療機関に対し、脆弱性のある機器にアップデートを適用することを強く求めています。
ネットワークを保護するためには
2021年7月、マイクロソフト社は自社のWindows印刷スプーラに影響を与える2つの脆弱性を公表しました。悪用されると、プリンタと関連ドライバを追加するアクセスを制限できず、リモート認証された攻撃者が脆弱なシステムで任意のコードを実行できるようになります。WindowsサーバーおよびWindows7、8、10のすべてのバージョンが影響を受ける可能性があります。
マイクロソフト社および米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)は、緩和策、または回避策のひとつを用いることを推奨してします。
過去1年間、狙うべきターゲットとなる組織へのエントリポイントとして、サードパーティを利用する攻撃の増加が目立ってきています。自組織だけでは運用しきれない業務をサードパーティに委託している医療機関も多く、委託先のセキュリティ対策が不十分な場合はリスクを伴います。
この種の攻撃では、ランサムウェアがサードパーティのネットワークに入り、攻撃者はこれを使って、ターゲットに定めた医療機関に侵入を試みます。直接的に攻撃する代わりに、委託先を狙うことで、この委託先が出入りする他の組織にも影響を与えることができるため、被害は広範囲に及びます。
サードパーティに由来するインシデントを2例、紹介します。
2021年4月6日、放射線治療機器のプロバイダーであるエレクタ社は、クラウドを使ったシステムにランサムウェア攻撃を受けました。同社の広報担当者は、セグメンテーションのお陰で、サイバー攻撃の影響はアメリカの一部の顧客のみに限られているとしています。攻撃を受けて、同社は該当ストレージシステムをオフラインにし、攻撃後の侵害の封じ込めを行ったため、一部の顧客が、放射線治療の予定の取消しまたは再設定が必要となりました。
光学製品メーカーであるオリンパス社は、2021年10月10日にサイバー攻撃を受けて、米国、カナダ、ラテンアメリカのITシステムの停止を強いられました。同社は9月にもヨーロッパ、中東、およびアフリカにおけるビジネスに影響を及ぼしたランサムウェア攻撃を受けています。10月の攻撃では、業務に一時的な混乱をもたらしたものの、攻撃者が顧客データにアクセスしたかどうか、現時点では明らかにはしていません。
ネットワークを保護するためには
医療現場のセキュリティの今後を予測することは容易ではありません。最近発表されたMEDIGATEとCrowdStrike社とのランサムウェアの共同調査などを用いて、動向を把握する一方で、新たな脅威に対して先手をとり続けるためには、マメに情報収集を行い、プロアクティブな対策も求められています。今回、ここに挙げた例に見られる傾向は、攻撃がよりその速度を増し、さらに複雑化し続けるであろうことを示しています。セキュリティの弱点を突き、患者の治療を停に影響を及ぼし、身代金を強要も増えることでしょう。
医療機関では、新たな方法で対応することが強いられます。起こり得るリスクを理解し、リスクから身を守ると同時に、万が一に備え、ポリシーを整えておくことも大切です。
攻撃の件数が増加し続ける中で、MEDIGATEは医療機器、およびそれらの既知の脅威に関する正確な情報を提供することで、医療機関のより安全な運営を支援します。
SOMPO CYBER SECURITYではMEDIGATE社と技術提携し「医療機関向けサイバーリスクマネジメントサービス」を提供しています。医療機器の資産管理を改善し、効率化を図り、ROIの改善の詳細について興味のある方はお問い合わせにご連絡ください。