日本の医療業界にも警鐘！オーストラリアの電子処方プロバイダーが大規模ランサムウェア攻撃に遭遇！日本の医療業界における適切なセキュリティ対策とは？

近年、サイバー攻撃の脅威は世界中で増加しており、日本の医療業界もその例外ではありません。今回、オーストラリアの電子処方プロバイダーであるMediSecureが、第三者ベンダーからのランサムウェア攻撃により大規模なデータ侵害を受けたことが報告されました。このコラムでは、事件の詳細とその影響について、日本の医療関係者に向けて解説します。

2009年から運営を開始したMediSecureは、医療専門家が患者に薬を管理・処方するためのデジタルツールを提供している企業です。これまでに何百万件もの電子処方箋を発行しており、オーストラリア国内のプライベートおよび州の支援を受けたeRxシステムを通じてサービスを提供しています。

今回の事件は、MediSecureのウェブサイトと電話回線の閉鎖を余儀なくするほどの大規模なランサムウェア攻撃でした。この攻撃は、第三者ベンダーから発生したとされ、個人情報と健康情報が影響を受けていますが、その範囲はまだ明確ではありません。

MediSecureは公式声明で以下のように述べています

「MediSecureは、個人および健康情報に影響を与えるサイバーセキュリティインシデントを確認しました。我々は、システムへの潜在的な影響を緩和するための即時措置を講じました。」

現在、事件の調査が進行中であり、「初期の指標では、この事件は第三者ベンダーから発生したことが示唆されています」とMediSecureは述べています。同社は、オーストラリアの主要な規制当局、特にオーストラリア情報コミッショナー事務所に通知し、国家サイバーセキュリティコーディネーター（NCSC）と協力してサイバー攻撃の影響を緩和しています。

オーストラリアのNCSCも短い発表を行い、「商業健康情報組織」が「大規模なランサムウェアデータ侵害事件の被害者」であることを報告しました。

NCSCの声明では次のように述べられています

「昨日の午後、商業健康情報組織が大規模なランサムウェアデータ侵害事件の被害者であることを通知されました。私はオーストラリア政府の各機関、州および領土と協力して、この事件に対する全政府対応を調整しています。」

MediSecureはランサムウェア攻撃について具体的な言及を避けていますが、オーストラリアン・ファイナンシャル・レビューとABCによると、NCSCの発表に関連する会社はMediSecureであると報じられています。

現在、調査はまだ初期段階にあり、オーストラリア国民に対する影響に関する有用な詳細を共有するには至っていません。

オーストラリアの最近の歴史における最悪の医療関連データ侵害事件は、2022年10月にREvilランサムウェアギャングによって侵害されたMedibankの事件です。この侵害では、約970万人のMedibankの情報が漏洩し、個人識別情報、連絡先、および医療データが含まれていました。

1. 第三者ベンダー管理

医療機関は、外部ベンダーとの連携が不可欠ですが、その際にはセキュリティリスクも伴います。第三者ベンダー管理の強化は重要な対策の一つです。

• ベンダーのセキュリティ評価: 契約前にセキュリティ評価を実施し、セキュリティ基準を満たしていることを確認します。
• 契約条項: セキュリティ要件を契約に明記し、定期的な監査やセキュリティ評価を義務付けます。
• 定期的な監査と評価: ベンダーのセキュリティ対策が継続的に維持されているかを確認するため、定期的な監査を実施します。

2. 従業員教育とトレーニング

サイバー攻撃の多くは、内部からの人的ミスや不注意によって引き起こされます。従業員の意識向上と適切なトレーニングは、セキュリティ対策の基本です。

• セキュリティ意識向上: 従業員に対して定期的なセキュリティトレーニングを実施し、最新の脅威や対策について教育します。
• フィッシング対策訓練: フィッシングメールの認識と対応についての訓練を行い、従業員のリテラシーを向上させます。
• インシデント対応訓練: 実際のインシデント発生時に迅速に対応できるよう、シミュレーション訓練を定期的に行います。

3. 多層防御戦略

単一のセキュリティ対策では不十分であり、多層防御戦略が重要です。複数のセキュリティ層を組み合わせることで、攻撃者がすべての層を突破することを難しくします。

• ネットワークセグメンテーション: ネットワークをセグメント化し、重要なデータやシステムを保護します。
• ファイアウォールとIDS/IPSの導入: ネットワークトラフィックを監視し、不正なアクセスや攻撃を検出・防止します。
• エンドポイントセキュリティ: すべてのデバイスにエンドポイントセキュリティソフトウェアをインストールし、マルウェアや不正アクセスを防ぎます。

4. データ暗号化とバックアップ

医療データは非常に機密性が高いため、データ暗号化と定期的なバックアップは必須です。

• データ暗号化: 保存データや送信データを暗号化し、外部からのアクセスを防ぎます。
• 定期的なバックアップ: データの定期的なバックアップを行い、ランサムウェア攻撃などでデータが失われても復旧できるようにします。
• バックアップの検証: バックアップデータが正しく保存され、復旧できるかを定期的に検証します。

5. インシデント対応計画

サイバー攻撃が発生した場合の迅速な対応が被害を最小限に抑える鍵となります。インシデント対応計画を策定し、定期的に見直します。

• インシデント対応チームの編成: 専門の対応チームを編成し、役割と責任を明確にします。
• 対応手順の策定: サイバー攻撃発生時の具体的な対応手順を策定し、全従業員に周知します。
• 定期的な訓練と見直し: 対応計画を定期的に訓練し、最新の脅威や技術に合わせて見直します。

日本の医療業界は、サイバーセキュリティの脅威に対して積極的な対策を講じることが求められています。MediSecureの事例を参考にし、第三者ベンダー管理、従業員教育、多層防御戦略、データ暗号化、インシデント対応計画を適切に実施することで、セキュリティ対策を強化し、患者のデータを守ることができます。

今回のMediSecureの事件は、サイバーセキュリティの脅威が依然として高いことを示しています。日本の医療機関や関連企業も、このような脅威に対する警戒を強め、第三者ベンダーを含む全ての関係者とのセキュリティ対策を強化することが求められます。オーストラリア政府とセキュリティ機関の対応から学び、日本の医療業界においても適切なセキュリティ対策を実施していくことが重要です。

参考：https://www.bleepingcomputer.com/news/security/medisecure-e-script-firm-hit-by-large-scale-ransomware-data-breach/