【医療セキュリティ】医療現場のセキュリティ脅威 2021年の振り返り
当社では技術提携をしているイスラエル企業のブログや報告書を紹介しています。
今回は当社の「医療機関向けサイバーリスクマネジメントサービス」で技術提携をしているMEDIGATE社のブログ『医療現場のセキュリティ脅威 2021年の振り返り』を紹介します。
海外の動向を踏まえた内容となっていますが、日本の医療現場のみなさまには、サイバーセキュリティ対策の参考としてご活用いただければ幸いです。
医療現場のセキュリティ脅威 2021年の振り返り
Yuval Halaban@Medigate | 2021年12月21日
世界規模のパンデミックに対応するため、医療現場ではこの2年近く、さまざまな試練を乗り越えてきました。このような緊急事態においては、サイバー攻撃もなりを潜めるのかと思うのは残念ながら甘い考えで、彼らは休む間もなく攻撃を続けています。
医療機器のサイバーセキュリティソリューションを開発するMEDIGATEでは、医療現場で留意すべき脆弱性とサイバー攻撃を一覧にまとめました。すべてを網羅しているわけではありませんが、医療機器に対する攻撃の傾向や2021年に見られた重要課題を振り返るための素材としてお使い頂ければと思います。
より良い治療、より良い病院運営を目指し、ネットワークに繋がったいわゆるIoMTと呼ばれる医療機器は増加し続けています。それに伴い、医療現場のIT環境は目まぐるしい発展を遂げており、IoMTは2025年までにさらに42%の成長が見込まれています。しかし、ネットワークに繋がる機器の数が増えれば増えるほど、その分、アタックサーフェス(攻撃の対象となる領域)も増加しているわけで、侵害や病院の運営や患者の命に係わる治療の中断を避けるために、より一層のセキュリティ対策が求められています。
2021年 医療機関に対するサイバー攻撃は前年比でなんと約40%も増加したと言われています。
今や医療機器は攻撃対象の一つであり、セキュリティ対策には注意と専門的なスキルを要します。脆弱性一つ一つ、またサイバー攻撃の一つ一つには異なる特徴が見られますが、分析をしてみると、類似点があるのもわかります。IoMTの脆弱性やプラットフォームの脆弱性、およびよりセキュリティ対策が未熟なサードパーティを介して発生した医療機器に対する攻撃であるという類似点です。
このレポートでは、攻撃の傾向からわかる2022年に取るべきセキュリティ対策のヒントをまとめました。
日本語版は一部抜粋のため、英語版のフルバージョンをご覧になりたい方はこちら
Top Healthcare Cybersecurity Threats of 2021
データの収集方法
データは、MEDIGATEが使われている、1,000施設を超える医療施設に接続されている1,000万台を超える医療機器の実データに基づいています。
IoMTの脆弱性
医療機器の特定の脆弱性を悪用する攻撃では、攻撃者がいかに明確な動機に基づき、慎重に手はずを整えているかがわかります。特定の機器を攻撃するには、それなりのスキルや専門知識、準備が必要で、金銭的にそれだけの価値があることの表れでもあります。
対策としては脆弱性のある機器にパッチを適用すればよいだけではあるのですが、医療機器では可用性が重視されるため、バージョンアップによる悪影響を懸念したり、基本的にバージョンアップは製造業者によって実施される場合もあったり、軽微変更の範囲を超える場合は変更申請の対象となるなど、さまざまな理由から後回しにされがちであり、結果として攻撃者に攻撃のチャンスを与えるとこととなります。一般的なIT機器とは異なる医療機器の危険性を理解することは、今後の医療機関におけるセキュリティ担当者にとって重要なテーマとなるでしょう。
ビー・ブラウン社製 輸液ポンプ-ICSMA-21-294-01
2021年8月、米セキュリティベンダーのマカフィーは薬剤や栄養の自動投与といった患者の治療のため、世界中の医療現場で広く使用されているビー・ブラウン社製の輸液ポンプの2つのモデルに5つの脆弱性を特定しました。重要、かつ生命維持に必要な薬剤の投与にも使用されています。攻撃者は、脆弱性を悪用することで機器の設定を遠隔操作で変更することができます。その結果、不適切な処方となることで被害を引き起こす可能性があり、攻撃者に身代金の支払いを強要される可能性もあります。
ネットワークを保護するためには
- 影響を受ける機器へのアップデートの適用: ビー・ブラウン社は、該当機器用のアップデートをリリースしています。影響を受けるすべての機器を特定し、アップデートを適用することを推奨します。
- ネットワークセグメンテーション: 機器を特定し、修復が不可能な場合は、リスクを軽減するために適切なネットワークセグメンテーション(ネットワーク領域の分割)を行ってください。
ウェルチ・アレン社製(ヒルロム社)ICSMA-21-152-01
2021年6月、MEDIGATEはウェルチ・アレン社製のモニタと医療機器管理ツールにおいて脆弱性を検出しています。医療現場では血圧、脈拍数、体温を監視し、臨床で不整脈などを通知するために使われています。発見された、メモリ境界外書き込みと読み取りの脆弱性が悪用されると、攻撃者はメモリを破損させ任意のコードを遠隔で実行することができ、それによって機器の完全性が損なわれ患者の治療に影響を与える恐れもあり、攻撃者に身代金の支払を強要される可能性があります。
ネットワークを保護するためには
- 影響を受ける機器へのアップデートの適用: ウェルチ・アレン社は、該当機器のためのアップデートをリリースしています。影響を受けるすべての機器を特定し、パッチを適用することを推奨します。
- ネットワークセグメンテーション: 機器を特定し、修復が不可能な場合は、リスクを軽減するために適切なネットワークセグメンテーションを行ってください。
プラットフォームの脆弱性
2021年、広く使用されているプラットフォームでリスクの高い脆弱性が公表されました。攻撃者は連携して運用されているプラットフォームの脆弱性を狙うことで、プラットフォームに依存する関連機器など、広範囲に影響を与える可能性があることを知っています。これらのプラットフォームではアップデートがリリースされていますが、どの機器がどのOSを使用しているか、詳細が把握されていないケースも少なくなく、多くの機器が重要なアップデートが施されないまま、放置され、危険にさらされている可能性があります。
Apache Log4jの脆弱性(Log4Shell)
2021年12月9日、通称Log4Shellと呼ばれるこの脆弱性CVE-2021-44228がApache Log4jのバージョン2.0から2.14.1において公表され、IT業界がパニックとなりました。 Log4Shellは、脆弱性の重要度を示すCVSSの最高スコアである10がつけられています。オープンソースのロギングライブラリ Apache Log4jを使用するアプリケーションやクラウドサービス、Webサイトなどに影響が及びます。
このため、各企業はシステムや製品のうち、どこに影響が及ぶ可能性があるのかを判断しなければならず、SBOM(ソフトウェア部品表:ソフトウェアコンポーネントとその内容)の重要性が注目されています。
医療現場も同じことで、医療機器の多くが影響を受けています。詳細については、MEDIGATEのブログを参照してください。追加情報があり次第、随時更新されます。
ネットワークを保護するためには
- 影響を受ける機器の特定: 製造業に関わる多くの企業がApache Log4jの使用について情報を既に公開しています。影響を受ける機器の特定は最重要課題です。インターネットに接続されている機器を優先的に確認することを推奨します。
- 影響を受ける機器のアップデートの適用: リリースされたアップデートが適切に適用さていることを確認しましょう。最も効果的に保護するためには、早急にLog4j-2.17.0へのアップデートが必要です。
- ネットワークセグメンテーション: 機器を特定し、リスクを軽減するために、セグメンテーションを含む適切なネットワーク環境を整えることを推奨します。意図した用途において、必要とされないインターネット通信に制限をかけましょう。
- 脆弱性管理ツール: 脆弱性の可能性があるすべての機器に対して、脆弱性管理ツールを用いて調査を行いましょう。対応が必要な機器のマッピングが可能になります。
- ネットワーク通信と機器の動作の監視: MEDIGATEのアラート機能で環境内の機器がLog4j攻撃に関連する悪意のあるIPと通信しているかどうかを監視することも可能です。Log4j攻撃に関連するIoCの一覧を確認するにはこちら。Log4j攻撃に関連するIoC一覧(GitHub)
シーメンス社製 Nucleus TCP/IPスタック
2021年11月、MEDIGATEとフォアスカウト社の研究チームは、医療機器で利用されているシーメンス社のリアルタイムOSであるNucleusのTCP/IPスタックに影響を与える13の新たな脆弱性を発見しました。総称してNUCLEUS:13と呼ばれています。これらの脆弱性のうち、以下6つのCVEは、CVSSスコアで危険度が9以上であり、高いとされているものです:
|
CVE-2021-31890(9.1) |
CVE-2021-31346(9.1) |
CVE-2021-31345(9.1) |
|
CVE-2021-31889(9.1) |
CVE-2021-31884(9.8) |
CVE-2021-31886(9.8) |
医療現場でも麻酔器や患者モニタ、Cアームなどの医療機器に使われています。
これらの脆弱性が悪用されると、遠隔操作によるコードの実行、DDoS攻撃、および情報漏えいが発生する可能性があります。
ネットワークを保護するためには
- 影響を受ける機器の特定: Nucleusは広く使われているため、ネットワーク内のどの機器がこのOSに依存しているかを判断し、危険度が高いものから優先的に対応することが求められています。影響を受ける機器が非常に多いため、CVSSのスコアが8以上の機器から始めることを推奨します。
- 影響を受ける機器のアップデートの適用: NUCLEUS:13への攻撃から組織を守るにはアップデートの適用が必須です。シーメンス社は該当機器用のパッチをリリースしており、医療機関は影響を受ける機器をただちにアップデートする必要があります。
- ネットワークセグメンテーション: リスクを軽減するために、適切なネットワークセグメンテーションを行ってください。
BadAlloc RTOS
2021年4月、マイクロソフト社はQNX、VxWorks、MQXを含むサポートライブラリと複数のリアルタイムOSに「BadAlloc」と総称される25の脆弱性を発見しました。
医療機器においてもこれらのOSが広く使用されており、Cアーム、免疫測定装置、ロボット手術システム、輸液ポンプ、ナースコールシステムなどの製品に影響を与える可能性があります。うち、6つの脆弱性は「クリティカル」と評価され、CVSSスコアは9.8となります。これは、遠隔操作により攻撃者がそれらの脆弱性を悪用できるためです。米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)によると、これらの脆弱性が悪用されると、クラッシュやリモートコードのインジェクションや実行などの予期しない動作が発生する可能性があります。
|
CVE-2021-31571 |
CVE-2021-31572 |
CVE-2020-35198 |
|
CVE-2021-3420 |
CVE-2021-26461 |
CVE-2021-22156 |
上記の医療機器は、ヘルスケアエコシステムにおいて重要な役割を果たし、いかなる中断も治療の妨げとなる可能性があります。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、医療機関に対し、脆弱性のある機器にアップデートを適用することを強く求めています。
ネットワークを保護するためには
- 影響を受ける機器の特定 BadAllocの影響を受けるリアルタイムOSは広く使われているため、ネットワーク内のどの機器が該当するOSに依存しているかを判断し、危険度が高いものから優先的に対応することが求められています。
- 影響を受ける機器のアップデートの適用: これらの機器には、アップデートがリリースされています。ネットワーク内の影響を受けるすべての機器を速やかに特定し、修正を確実にするために正しいアップデートを適用しましょう。
- ネットワークセグメンテーション: 機器を特定し、修復が不可能な場合は、リスクを軽減するために適切なネットワークセグメンテーションを行ってください。
PrintNightmare
2021年7月、マイクロソフト社は自社のWindows印刷スプーラに影響を与える2つの脆弱性を公表しました。悪用されると、プリンタと関連ドライバを追加するアクセスを制限できず、リモート認証された攻撃者が脆弱なシステムで任意のコードを実行できるようになります。WindowsサーバーおよびWindows7、8、10のすべてのバージョンが影響を受ける可能性があります。
マイクロソフト社および米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)は、緩和策、または回避策のひとつを用いることを推奨してします。
ネットワークを保護するためには
- 影響を受ける機器のアップデートの適用: これらの該当機器用のアップデートがリリースされています。ネットワーク内の影響を受けるすべての機器を特定し、修正を確実とするためにアップデートの適用することを推奨します。
- ネットワークセグメンテーション: 機器を特定し、修復が出来ない場合は、リスクを軽減するために適切なネットワークセグメンテーションを行ってください。
- 回避策: アップデート適用とセグメンテーションが不可能な場合は、マイクロソフト社が提案する回避策がいくつかあります。どの方法が正しいかを調べ、回避策が実行可能かどうかを判断します。
3.セキュリティ対策が充分でないサードパーティ
過去1年間、狙うべきターゲットとなる組織へのエントリポイントとして、サードパーティを利用する攻撃の増加が目立ってきています。自組織だけでは運用しきれない業務をサードパーティに委託している医療機関も多く、委託先のセキュリティ対策が不十分な場合はリスクを伴います。
この種の攻撃では、ランサムウェアがサードパーティのネットワークに入り、攻撃者はこれを使って、ターゲットに定めた医療機関に侵入を試みます。直接的に攻撃する代わりに、委託先を狙うことで、この委託先が出入りする他の組織にも影響を与えることができるため、被害は広範囲に及びます。
サードパーティに由来するインシデントを2例、紹介します。
エレクタ社
2021年4月6日、放射線治療機器のプロバイダーであるエレクタ社は、クラウドを使ったシステムにランサムウェア攻撃を受けました。同社の広報担当者は、セグメンテーションのお陰で、サイバー攻撃の影響はアメリカの一部の顧客のみに限られているとしています。攻撃を受けて、同社は該当ストレージシステムをオフラインにし、攻撃後の侵害の封じ込めを行ったため、一部の顧客が、放射線治療の予定の取消しまたは再設定が必要となりました。
オリンパス社
光学製品メーカーであるオリンパス社は、2021年10月10日にサイバー攻撃を受けて、米国、カナダ、ラテンアメリカのITシステムの停止を強いられました。同社は9月にもヨーロッパ、中東、およびアフリカにおけるビジネスに影響を及ぼしたランサムウェア攻撃を受けています。10月の攻撃では、業務に一時的な混乱をもたらしたものの、攻撃者が顧客データにアクセスしたかどうか、現時点では明らかにはしていません。
ネットワークを保護するためには
- サードパーティの評価: セキュリティのベストプラクティスへの準拠を確実とするため、ネットワークにアクセスできるすべてのサードパーティを見直しましょう。標準化されたセキュリティ評価を実施し、治療の中断、情報漏洩など、病院運営へのインパクトを把握しましょう。
- ネットワーク監視: ツールを使用して、ネットワーク通信と機器の動作を監視し、侵害の兆候を早期に受け取れる体制を整えましょう。
- ネットワークセグメンテーション: リスクを軽減するために、臨床およびコンテキストベースのネットワークセグメンテーションを推奨します。
2022年は?
医療現場のセキュリティの今後を予測することは容易ではありません。最近発表されたMEDIGATEとCrowdStrike社とのランサムウェアの共同調査などを用いて、動向を把握する一方で、新たな脅威に対して先手をとり続けるためには、マメに情報収集を行い、プロアクティブな対策も求められています。今回、ここに挙げた例に見られる傾向は、攻撃がよりその速度を増し、さらに複雑化し続けるであろうことを示しています。セキュリティの弱点を突き、患者の治療を停に影響を及ぼし、身代金を強要も増えることでしょう。
医療機関では、新たな方法で対応することが強いられます。起こり得るリスクを理解し、リスクから身を守ると同時に、万が一に備え、ポリシーを整えておくことも大切です。
- 医療機関ではランサムウェア攻撃に起因する患者への影響の責任を追及される可能性があります。その結果として民事訴訟に発展し、多額の賠償金を要求されるケースも考えられます。
- サイバー保険市場は成長し続け、その結果として損害保険会社も医療機関に対し、リスク管理体制のチェックや保険のカバー範囲の見直しなども進むでしょう。結果としてサイバー保険の費用が増加する可能性も考えられます。
- サイバー保険の費用が増加するにつれ、補償範囲が厳しく制限され、医療機関ではより多くのリスクを負う可能性があるかもしれません。サイバーセキュリティの人員の確保やプロセスの確立、使用するソリューションなどに対し、根本的に異なる投資が必要となるでしょう。
- サイバー保険や信頼できる委託先などのパートナーによって提供される、リスク管理のための「サービス」モデルの検討が一層進むでしょう。医療機関の持つ既存のチームを強化するための追加機能や専門知識を補うサービスが求められています。
MEDIGATEとは
攻撃の件数が増加し続ける中で、MEDIGATEは医療機器、およびそれらの既知の脅威に関する正確な情報を提供することで、医療機関のより安全な運営を支援します。
SOMPO CYBER SECURITYではMEDIGATE社と技術提携し「医療機関向けサイバーリスクマネジメントサービス」を提供しています。医療機器の資産管理を改善し、効率化を図り、ROIの改善の詳細について興味のある方はお問い合わせにご連絡ください。
