ランサムウェア(身代金要求型不正プログラム)」の感染事例や、脆弱なシステムを狙った攻撃、个人情报流出に至るまで、医療機関はサイバー犯罪者の格好の標的になっています。病院や医療関連機関の个人情报流出に関する弊社のリサーチペーパーでも、金融関连の情报に并び、患者の重要な个人情报が、依然としてサイバー犯罪に最も利用されるリスクがあることを示しています。

米国プロリダ州を拠点とする医療関連機関「Southeast Eye Institute (Eye Associates of Pinellas)」は、第三者によってネットワークサーバ内の患者のファイルが未許可の第三者にアクセスされ、個人情報が流出したことをしました。このネットワークサーバは、医療業務を管理するソフトウェアを提供する企業「Bizmatics社」によって運営されていました。米国の「Department of Health and Human Services(HHS、保健社会福祉省)」の「Office for Civil Rights(OCR, 公民権局)」によると、この事例では87,314名分の患者情報が流出しと報じています。この医療関連企業を狙った攻撃は、2015年1月初旬には開始されたと見られており、2016年3月下旬まで発覚しませんでした。

この「Southeast Eye Institute」の場合、電子カルテ(Electronic Health Record、EHR)、業務管理、医療費支払いを処理するソフトウェアを請け負うサードパーティのBizmatics社で発生したの調査を契機に被害が発覚しました。そのハッキング事例が、同じくBizmatics社を利用していたアーカンソー州健康福祉ネットワーク医療機関「Pain Treatment Centers of America (PTCOA)」や「Interventional Surgery Institute (ISI)」で19,397名の患者の個人情報が流出した情報漏えいです。また、ネブラスカ州の医療関連機関「Complete Family Foot Care」では、のが流出しました。

リサーチペーパー:「Dissecting Data Breaches and Debunking Myths(英語情報)

テキサス州ケイティ市の医療関連機関「Medical Colleagues of Texas, LLP」は、同機関のWebサイト上でサイバー犯罪者がコンピュータネットワークにアクセスし、患者および従業員の氏名や、住所、社会保障番号、健康保険などの情報を含む68,631件の記録が流出した可能性があるとしました。

ニューメキシコ州サンファン郡では、連邦政府資金による薬物?アルコール依存症の治療プログラムに参加した12,000名の患者の氏名や、健康評価、服用中の薬、治療療法といった医疗记録がしました。2016年3月には、フロリダ州の医療機関「21st Century Oncology Holdings」が、米国の145拠点、中南米およびメキシコの36拠点のがん治療センターから2百万人以上の患者の個人情報が流出したことを报告しました。

2015年2月には、歯科医院のコンピューター技術者およびセキュリティリサーチャーのJustin Shafer氏が、歯科業務管理ソフトウェア「Eaglesoft」のFTPサーバに保存されている患者の情報に誰にでも容易にアクセスできる方法があることを確認し、約22,000件の歯科患者の医疗记録が情報流出の危険にさらされていたとしました。影響を受けた歯科医院は、カナダの「Timberlea Dental Clinic」や「Dr. M Stemalschu」、米国の「Massachusetts General Hospital Dental Group」、さらに米国とカナダを拠点とする「Patterson Dental」などです。

続きを読む:「Why is Healthcare an Ideal Target?(英語情報)

医疗机関におけるセキュリティ対策の课题は、これらの事例によって十分示されています。医疗机関には、个人情报、クレジットカード情报、治疗记録といった情报が存在し、サイバー犯罪者にとっては「宝の山」のようなものです。个人情报や金融情报は、违法活动でこれらの情报を利用する犯罪者向けにアンダーグラウンド市场で贩売することが可能であり、サイバー犯罪者は高い利益を期待できるからです。

事実、医疗业界は、2015年に発生した个人情报の盗难、诈欺、その他の犯罪の発生件数が最も多い业界となっています。有名公司を狙った事例では、米国の医疗関连公司「Anthem」での8,000万件以上の顾客情报流出や、医疗保健机関「Premera Blue Cross」での1100万件の患者の银行口座认証情报や诊疗情报の流出があげられます。米国公民権局は、2009年10月から2016年5月25日までに医疗机関や医疗组织が巻き込まれた情报流出事例数を1,567件としています。

上述の医療関連機関「Southeast Eye Institute」では現在、専門家としてセキュリティ対策の強化に取り組んでおり、その一環として1年間無料の患者の個人情報保護やクレジットモニタリングサービスを提供しています。医療機関「Medical Colleagues of Texas」では、情報が流出した可能性がある患者へのと1年无料のクレジットモニタリングサービスを提供し、远隔でアクセスする电子カルテには二要素认証システムの导入も进めています。同様の取り组みは、上述のニューメキシコ州サンファン郡の関连机関で実施されており、个人情报漏えいの保険金として5万ドル(2016年6月7日时点、约5百38万5千円)のが决定されました。