医療機関を狙うサイバー攻撃急増中！国内におけるX線画像読影システムへの攻撃から学ぶ

近年、医療機関を標的としたサイバー攻撃が急増しており、日本国内でも深刻な被害が相次いでいます。特に2024年に入ってからは、X線画像読影システムを狙った攻撃が注目を集めています。
本稿では、最近の事例を踏まえながら、医療機関が直面するサイバーセキュリティの課題と対策について考察します。

医療機関は、患者の個人情報や診療データなど、極めて機密性の高い情報を大量に保有しています。また、24時間365日稼働し、システム停止が許されない重要インフラでもあります。こうした特性から、サイバー犯罪者にとって医療機関は格好の標的となっています。

トレンドマイクロの2023年の全世界のマルウェア検出データによると、「ヘルスケア」は政府機関に続いて第2位の標的業界となっています。
^{参考：https://www.trendmicro.com/ja_jp/jp-security/22/k/securitytrend-20221104-01.html}

日本国内でも、2021年10月の徳島県つるぎ町立半田病院や2022年10月の大阪府立病院機構 大阪急性期・総合医療センターなど、大規模な被害事例が報告されています。
^{徳島県つるぎ町立半田病院公式サイト：https://www.handa-hospital.jp/topics/2022/0616/index.html
大阪府立病院機構 大阪急性期・総合医療センター公式サイト：https://www.gh.opho.jp/incident/1.html}

2024年に入り、特に注目を集めているのがX線画像読影システムを狙った攻撃です。2024年1月29日、公益財団法人埼玉県健康づくり事業団が保有するX線画像読影システムが、ランサムウェアによる不正アクセス攻撃を受けました。
^{公益財団法人埼玉県健康づくり事業団公式サイトより：https://www.saitama-kenkou.or.jp/wordpress/wp-content/uploads/attention_20240517.pdf}

この攻撃では、平成29年度から令和5年度に学校の健康診断で実施された胸部レントゲン健診を受診した県立学校生徒（261,996名）のX線画像及び氏名（カタカナ）が含まれるデータが影響を受けた可能性があります。事業団は3月28日に第2報を発表し、RDP（リモートデスクトッププロトコル）を使用してもデータの転送ができることなどから、データ窃取の有無を完全に断定することはできないとしています。

この事例は、医療機関や健康診断事業者が保有する画像データの重要性と、それを狙うサイバー攻撃の脅威を改めて浮き彫りにしました。

医療機関がサイバー攻撃の標的となる理由は主に以下の3点です。

1. 高価値な個人情報の保有
   医療機関は患者の個人情報や診療データなど、極めて機密性の高い情報を大量に保有しています。これらの情報は闇市場で高値で取引される可能性があります。
2. システム停止の影響の大きさ
   医療機関のシステムが停止すると、患者の生命に直接影響を与える可能性があります。そのため、攻撃者は身代金の支払いを強要しやすいと考えています。
3. セキュリティ対策の遅れ
   多くの医療機関では、予算や人材の制約からセキュリティ対策が十分に行われていない場合があります。

医療機関のサイバーセキュリティ対策には、いくつかの課題があります。

1. 予算と人材の不足
   多くの医療機関では、医療サービスの提供が最優先であり、セキュリティ対策に十分な予算や人材を割くことが難しい状況にあります。
2. 複雑なシステム環境
   電子カルテシステム、医療機器、事務系システムなど、多様なシステムが混在しており、全体的なセキュリティ管理が難しくなっています。
3. 24時間365日の稼働要求
   システムの停止が許されないため、セキュリティアップデートやメンテナンスの実施が困難です。
4. 医療機器の特殊性
   医療機器の中には、セキュリティ対策が十分でない古い機器や、規制の関係でアップデートが難しい機器が存在します。
5. サプライチェーンリスク
   医療機関は多くの外部業者と連携しており、それらの業者を経由した攻撃のリスクも存在します。

こうした状況を受けて、国も医療機関のサイバーセキュリティ対策強化に乗り出しています。2023年3月には医療法施行規則が改正され、医療機関の管理者にサイバーセキュリティ対策の実施が義務付けられました。

さらに2023年5月には、厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」を公開しました¹。このガイドラインでは、以下のような対策が求められています。

また、2024年度の診療報酬改定では、診療録管理体制加算の見直しが行われ、非常時に備えたサイバーセキュリティ対策などの整備に係る要件および評価が見直されました。

医療機関がサイバーセキュリティ対策を強化するために、以下のような具体的な対策が推奨されています。

1. VPN機器のセキュリティ強化
   リモートアクセスに使用するVPN機器のセキュリティを強化し、不正アクセスを防ぐ。
2. 攻撃の「早期検知・対処」ツールの導入
   ファイアウォール、IDS/IPS、NDRなどのセキュリティツールを導入し、不正アクセスを素早く検知・対策する。
3. 多要素認証やSSOの導入
   ID/パスワードに加えて生体認証やワンタイムパスワードなどを組み合わせた多要素認証を導入し、不正ログインを防ぐ。
4. セキュリティインシデント発生時の対応計画策定
   サイバー攻撃を想定したBCP（事業継続計画）を策定し、定期的に訓練を実施する。
5. 従業員教育の実施
   セキュリティ意識向上のための教育プログラムを実施し、人的ミスによる情報漏洩を防ぐ。
6. データのバックアップと暗号化
   重要なデータは定期的にバックアップを取り、暗号化して保管する。
7. システムの定期的なアップデート
   OSやソフトウェアを最新の状態に保ち、既知の脆弱性を解消する。
8. ネットワークの分離
   医療情報システムと一般のインターネット接続環境を分離し、攻撃の影響範囲を限定する。

埼玉県健康づくり事業団のX線画像読影システムへの攻撃事例からは、以下のような教訓を得ることができます。

1. 画像データの重要性
   X線画像などの医療画像データも、個人情報と同様に重要な保護対象であることを認識する必要があります。
2. サプライチェーンリスクの管理
   健康診断事業者など、外部の協力機関のセキュリティ対策状況も確認し、管理する必要があります。
3. リモートアクセスの安全性確保
   RDPなどのリモートアクセス機能のセキュリティを強化し、不正アクセスを防ぐ必要があります。
4. データ窃取の検知困難性
   攻撃を受けた場合、データ窃取の有無を完全に断定することは難しいため、予防的な対策が重要です。
5. 透明性の確保
   インシデント発生時には、適切な情報開示と関係者への迅速な通知が求められます。

医療機関を狙うサイバー攻撃は今後も増加すると予想されます。X線画像読影システムへの攻撃事例は、医療関連データの重要性と、それを狙う攻撃の巧妙化を示しています。

医療機関は、患者の生命と個人情報を守る重要な使命を担っています。そのためには、技術的対策だけでなく、組織全体でセキュリティ意識を高め、継続的に対策を強化していく必要があります。国のガイドラインや最新の攻撃事例を参考にしながら、自組織に適したセキュリティ対策を検討し、実施していくことが求められます。

サイバーセキュリティ対策は、医療の質と安全性を確保するための重要な投資です。医療機関の経営者は、この問題を経営課題として認識し、積極的に取り組んでいく必要があるでしょう。