残念ながら、10月28日の午前、アメリカ北東部のバーモント大学医療センターは身代金要求型ウイルス攻撃を受け、患者の電子データやスケジュール調整システムなど治療に必要なITシステムがダウンしてしまった。病院スタッフは、緊急性の低い診療を断り、ペンと紙で記録を取って重症患者を近くの病院に転送させたという。
東部マサチューセッツ州の複数の病院の院長によると、自身や部下宛てに保健福祉省を装ったなりすましメールが10月29日付で届いたという。なりすましメールは、病院での新型コロナウイルスの統計値について確認するためのような書き方になっていた。
FBIらの警告を受け、病院は直ちに対策を取った。マサチューセッツ州内のとある病院は、外部からの不審メールやリンク付きのメールを隔離するためのツールを導入した。複数の病院はさらに強硬な措置を取り、週末に外部からのメールをブロックした。
外部とのメールを一時的にせよ遮断すれば、病院の業務遂行に多大な影響が及ぶ。それでも経営判断であえて遮断し、サイバーセキュリティ強化とサイバー攻撃による治療への悪影響の最小化を優先させたのだ。しかも、複数の病院の経営層が具体的にどのようななりすましメールが届いているかを公表し、他の病院が対策を取りやすくした。
医療機関への攻撃は生死に直結する
医療機関のサイバーセキュリティ対策は、ほかの業界と比べ遅れている。NTTの2020年のサイバー脅威インテリジェンス報告書によると、金融機関やハイテク業界のサイバーセキュリティ成熟度が5.99満点中それぞれ1.86と1.64であるのに対し、医療機関のサイバーセキュリティ成熟度は1.12とかなり低い。
身代金要求型ウイルス攻撃をはじめ、サイバー攻撃でよく使われる手口であるなりすましメールへの有効な対策の1つが、メールのフィルタリングとスキャンだ。しかし、アメリカの保険会社「コーヴァス」によると、86%の医療機関はこの基本的な対策すら取っていない。
身代金要求型ウイルスによる攻撃は、あらゆる業種に向けられている。ただし、医療機関、特に病院の場合、業務への支障が患者の生死に直結するため、身代金要求型ウイルスによる被害が出れば、身代金を支払う可能性が高いと足元を見た卑劣な攻撃が続いている。今後もやむことはないだろう。
日本でも、12月2日、福島県立医科大学附属病院で業務用PCや医療機器が2017年に身代金要求型ウイルスに感染していたと判明したばかりである。
今回、ドイツの検察当局がサイバー攻撃による治療の遅れと過失致死の疑いとの関連づけの立証を断念した。犯人の多くは国外にいると考えられ、そのほかの容疑である脅迫とサイバー攻撃でも逮捕できなければ、将来のこうした攻撃への法的な抑止力は期待できない。
ログインはこちら