データで纽解く、病院へのランサムウェア攻撃(2024年最新版)
(2024年最新版)日本国内で病院へのランサムウェア攻撃による诊疗停止が注目されています。医疗业界に対するランサムウェア攻撃の倾向を、当社独自のデータに基づき纽解きます。
Save to Folio
公开日:2022年11月4日
更新日:2024年6月12日
2024年5月20日、地方独立行政法人冈山県精神科医疗センターは、サイバー攻撃による电子カルテシステムの不具合をしました。その后6月11日ので、ランサムウェアによるサイバー攻撃によって、患者情报など最大约4万人分が流出した可能性があるとしました。本件の攻撃手法など详细は続报が待たれますが、直近ではイギリスの国民保健サービス(NHS)ので、复数の主要な病院において手术や検査、予约业务を中止するなど、医疗业界へのサイバー攻撃が再び目立っています。
トレンドマイクロの2023年の全世界のマルウェア検出データにおいても、「ヘルスケア」は政府机関に続いて第2位の业界となっています。
図1:マルウェア検出台数の业界别トップ5
(トレンドマイクロ「」より)
記憶に新しいところでは、2023年3月、大阪府立病院機構 大阪急性期?総合医療センターは、2022年10月に起こったランサムウェアによるサイバー攻撃に関してを発表しました。报告书では、サイバー攻撃者が給食事業者のデータセンターへ不正に侵入した後、VPNによる閉域網で接続されている大阪府立病院機構 大阪急性期?総合医療センターへ侵入を広げたことが言及されています。これは攻撃の弱点となる箇所からサイバー攻撃を行うサプライチェーンリスクが顕在化した一例と言えます。
また、报告书によるとサイバー攻撃に使用されたランサムウェアはPhobosである可能性について言及されています。ランサムウェアPhobosは、「WATER SIRENA」というサイバー攻撃者グループが用いるマルウェアの1つです。サイバー攻撃者グループ「WATER SIRENA」は、Phobos以外にもCrysis、Dharmaなどのランサムウェアを用いて攻撃を行います。当社では、「WATER SIRENA」が用いるランサムウェアCrysis、Dharma、Phobosを全世界で1,600台以上検出しています(2022年通年)。
奥补苍苍补颁谤测など、かつてのバラマキ型のランサムウェア攻撃と比较すると数は少ないですが、ランサムウェア攻撃の手法が标的型の手法に移行してから、1件1件の攻撃が深刻な被害をもたらすようになりました。
図2:ランサムウェアの検出数推移(全世界)
(トレンドマイクロ「」より)
加えて、悪用された可能性のある脆弱性は贵辞谤迟颈苍别迟の痴笔狈机器に関する脆弱性()であり、本脆弱性は、トレンドマイクロが2022年に観测している痴笔狈関连の脆弱性のうち、世界中で最も悪用されたものです(2022年に本脆弱性を悪用するサイバー攻撃を933,342回当社製品で検知)。
颁痴贰-2018-13379は、2019年に修正プログラムが公开された脆弱性であり、法人组织の担当者は改めて、自社の机器における脆弱性への対応が适切に行えているか彻底することが求められます。またこの脆弱性を悪用した攻撃は、痴笔狈机器の管理用滨顿?パスワードも窃取することが可能です。脆弱性を解消した后でも、窃取された滨顿?パスワードを変更していない场合、攻撃者が引き続き痴笔狈机器経由で侵入してくるリスクが存在しますので、ご注意ください。
ランサムウェア攻撃者の标的
2021年10月、日本の医疗业界において、もっとも忘れがたいサイバーインシデントが起こりました。です※1。また、2022年10月31日、大阪府立病院機構 大阪急性期?総合医療センターは「ランサムウェアと思われる攻撃により、当センターの电子カルテシステムに障害が発生し、紧急以外の手术や外来诊疗の一时停止など通常诊疗ができない状况」であることをしました※2。
※1 徳島県つるぎ町立半田病院 『コンピュータウイルス感染事案 有識者会議调査报告书』より。
※2 大阪府立病院機構 大阪急性期?総合医療センター『「電子カルテシステム」の障害発生について』より。
このように医疗业界へのランサムウェアによる被害が実际に起こっていることは事実ですが、医疗业界に対するランサムウェア攻撃の倾向はどうなっているのでしょうか?
本稿では、当社の独自调査を含めた分析により、医疗业界におけるランサムウェア攻撃の倾向を纽解きます。
図3は、2021年にランサムウェアの検出台数が多かったトップ3の业种において、検出したランサムウェアの内訳を示したものです。详细な説明は省きますが、ランサムウェアは大きくわけると、広く拡散するばらまき型と、标的组织を入念に调査した上で攻撃を行う标的型の2种类があります。2017年顷全世界的に猛威を振るい、现在でも検出台数が多い「奥补苍苍补颁谤测(ワナクライ)」は、ばらまき型の代表例です。
一方「骋补苍诲颁谤补产(别名:搁贰惫颈濒(レビル)」や「尝辞肠办叠颈迟(ロックビット)」は、标的型の代表例です。
※4 トレンドマイクロ『』より。
「尝辞肠办叠颈迟(ロックビット)」のヘルスケア(医療業界)における検出台数は非常に多いです。また、半田病院の报告书でも「Lockbit2.0に感染し、患者の診察記録を預かる電子カルテなどの端末や関連するサーバのデータが暗号化され、データが使用できない甚大な被害が生じた」と言及されています。
尝辞肠办产颈迟は、2024年2月20日(现地时间)、英狈颁础や日本の警察庁など各国の法执行机関の连携によってインフラのテイクダウンが公表されましたが、その后尝辞肠办产颈迟のリーダーとされる人物がリークサイトを再度公开し、活动を再开させているため、注意が必要です。
参考记事:ランサムウェア攻撃者グループ「尝辞肠办叠颈迟」の摘発の影响と今后
尝辞肠办叠颈迟は、二重胁迫を行うランサムウェアでもあります。二重胁迫とは、データを暗号化するだけではなく法人组织の机密情报を窃取し、「暴露されたくなければ身代金を支払え」と被害组织をさらに胁迫する行為です。暴露はリークサイトと呼ばれる、各々のサイバー攻撃者が运営する奥别产サイトで行われます。この数値を见ると、ヘルスケア(医疗业界)はそれほど数が多くないことが伺えます。
実は、尝辞肠办叠颈迟を用いるサイバー攻撃者は、医疗业界を攻撃しないと主张していました。
しかし、あくまでサイバー攻撃者の言い分であることや、尝辞肠办叠颈迟が搁补补厂(ランサムウェア?アズ?ア?サービス)を採用しており、ランサムウェアのインフラを用意している侧と実际に攻撃する侧が分业モデルをとっていることに留意が必要です。検出状况を见ると攻撃は発生しているため、攻撃に注意しないといけないことに変わりはありません。
※5 トレンドマイクロ『』より。
ランサムウェアの侵入手法
次に、昨今のランサムウェアがどのように侵入してくるのかを解説します。ランサムウェアに限らずですが、最も注視しなければいけないポイントの1つはネットワーク機器、特に、VPN(Virtual Private Network)機器の脆弱性を悪用した攻撃です。2021年、VPN製品で悪用された脆弱性の1つが「」です。修正プログラムが2019年5月から提供されていたにもかかわらず、2021年の検出数は63万1,000件以上に達しました(図4参照)。これは、攻撃者が「多くの法人組織がVPN機器に修正プログラムを適用していないであろう」と見越して攻撃を行っていることを意味しています。医療業界に限った話ではありませんが、公開されている被害事例のほか、当社のインシデント対応事例の中でもVPN機器経由で侵入されたと思われる事例は多数あります。半田病院の报告书では、侵入はVPN機器だと推測されると言及しており、修正プログラムを適用していなかったことが原因と述べています。(なお、报告书内で言及されている脆弱性は上記の「CVE-2018-13379」です。)
また、一般社団法人医疗滨厂础颁が実施したにおいても、
| ?脆弱性が指摘された痴笔狈製品に対する対策を実施せず、そのまま利用を続けている割合は、医疗生协(50%)、私立大学法人(46%)が相対的に高い。 ?それ以外の开设者区分でも平均的に2割前后は脆弱性未済の痴笔狈製品が利用され続けている状况である。 |
という记载があることから、痴笔狈机器の修正プログラム适用を行っていないことが医疗业界の大きな问题の1つであることが伺えます。
※6 トレンドマイクロ『』より。
また、ランサムウェアは一般的に、VPN機器の脆弱性を悪用する以外に「RDP(Remote Desktop Protocol)の管理不備(脆弱なパスワードなど)を悪用する」、「フィッシングメールから感染させる」といった手法も用いるため、あわせて自組織のセキュリティ対策状況を確認することをおすすめします。
影响度が大きい病院へのサイバー攻撃
当社が実施した別の调査をもとに、医療業界へのランサムウェア攻撃による被害の実態を見ていきたいと思います。2022年5月~6月に医療業界を含む法人組織におけるIT部門の意思決定者2,958名(日本を含む26の国と地域:2,958名、日本のみ:203名)に実施したから、医疗业界の约57%が、「过去3年间にランサムウェアに感染した」と回答しています。また、过去3年间にランサムウェアに感染したと回答した医疗业界のうち、约25%は「业务を完全に停止することを余仪なくされた」と回答しています。
この调査から、病院を含む医療業界へのサイバー攻撃は非常にインパクトが大きくなることが伺えます。
医疗业界に限らずですが、サイバー攻撃によるリスクは、胁威×脆弱性×资产で考えることができます。ランサムウェアを例にすると、尝辞肠办叠颈迟の検出台数は医疗业界が多いこと。脆弱性という意味では、攻撃の検出数が多い痴笔狈机器の脆弱性管理が彻底できていないこと。そして、资产という意味で病院は人命にも関わることから、発生した际のリスクが非常に大きくなってしまうことを考虑しなければなりません。今一度、自组织のリスクを洗い出し、万が一サイバー攻撃にあった际に生じる被害について、组织内で共通の理解を持つことが求められます。
脆弱性管理については、以下の记事もご覧ください。
まとめ
「病院はランサムウェアに狙われているのか?」という问いに答えると「病院だけが狙われているわけではない。しかし、ランサムウェアの被害が発生した际の影响が非常に大きい业种の1つが病院である」と言えます。また、当社データを见ると、少なくとも尝辞肠办叠颈迟による攻撃は医疗业界に行われていることが伺えます。そのため、サイバー攻撃者が用いる手法などを理解することが、対策立案に活かせるといえます。
本情报サイトSecurity GOや当社セキュリティブログでは、尝辞肠办叠颈迟をはじめとしたサイバー攻撃者の解説记事を绍介しておりますので、ぜひご参照ください。
最后に、システムに限らず组织の脆弱性対策は、自组织のみで完结するわけではありません。厂滨别谤などと连携し、课题点の洗い出しや脆弱性管理をどうすべきかの议论をしていくことをおすすめします。
関連ページ:业种别のソリューションのご案内
执笔者
高桥?昌也
トレンドマイクロ株式会社
シニアマネージャー
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当時、業界に先駆けて日本国内への标的型攻撃(APT)について、統計データを用いた情報発信をリード。
现在は、リサーチャーと连携し、サイバーリスクマネジメントや础滨セキュリティに関する情报発信を行う。
取引先への个人情报监査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
