危機的状況にある米国の医療: ランサムウェア攻撃に対する回復性を強化する

サイバー犯罪者の攻撃プロセスは通常、2 段階のアプローチを取ります。まず、多くの場合フィッシングや脆弱性の悪用によってネットワークの初期アクセスを獲得し、次にランサムウェアを展開して重要なシステムやデータを暗号化します。こうした戦術の進化 (合法的なツールの使用や RaaS の普及など) により、攻撃はより手軽に、より頻繁に行われるようになっています。

医療機関を標的としたキャンペーンでは、非常に具体的なおとりが頻繁に使用されます。たとえば、Mott は、脅威アクターが医療業界特有の専門用語 (たとえば、検死報告書への言及など) を使用して、信頼性を高め、医療従事者を欺くことに成功しているメールを作成していることを強調しています。 

このようなソーシャル エンジニアリング戦術は、特に医療現場のようなプレッシャーの大きい環境では、医療従事者がしばしば感じている緊急性が悪用され、潜在的なセキュリティの欠陥につながる可能性があります。 

また、Mott は、攻撃者の手法がますます巧妙化しており、検知を逃れるために "IT 部門で一般的に使用されている実名、正規サービス、ツール (たとえば、リモート管理ツール)" を頻繁に使用していると指摘しています。このような戦術により、悪意のある活動と正当な活動をセキュリティ システムで区別することが難しくなっています。  

また、Microsoft 脅威インテリジェンスのデータによると、攻撃者は過去に特定された組織のソフトウェアやシステムにおける既知の脆弱性を悪用することが多いことが分かっています。これらの共通脆弱性および露出 (CVE) は十分に文書化されており、パッチや修正プログラムが提供されていますが、多くの組織がこれらの脆弱性に対処していないことを攻撃者は知っているため、古い脆弱性を標的にすることが多くなっているのです。¹⁸

初期アクセスを獲得した後、攻撃者は多くの場合ネットワーク偵察を行いますが、これは異常なスキャン アクティビティなどの痕跡によって特定できます。こうしたアクションにより、脅威アクターはネットワークの全体像を把握し、重要なシステムを特定し、次の段階であるランサムウェアの展開に備えます。

ますます巧妙化するランサムウェア攻撃に直面する中、医療機関はサイバーセキュリティに対して多角的なアプローチを採用する必要があります。患者ケアの継続性を維持しながら、サイバー インシデントに耐え、対応し、回復するための準備を整えておく必要があります。

以下のガイダンスは、レジリエンスを強化し、迅速に回復できるようにし、セキュリティを最優先する人材を育成し、医療分野全体での協力関係を促進するための包括的なフレームワークを提供します。

医療業界でのサイバーセキュリティにおける効果的なガバナンスは、ランサムウェア攻撃への備えと対応に不可欠です。Dameff 氏と Tully 氏 (UC San Diego Center for Healthcare Cybersecurity) は、明確な役割、定期的なトレーニング、分野を超えたコラボレーションを備えた、強固なガバナンス フレームワークの確立を推奨しています。これにより、医療機関はランサムウェア攻撃に対するレジリエンスを高め、重大な混乱が生じた場合でも患者ケアの継続性を確保することができます。

このフレームワークの重要な側面は、臨床スタッフ、IT セキュリティ チーム、緊急事態管理担当者の間の壁を取り払い、一貫性のあるインシデント対応計画を策定することです。テクノロジ システムが侵害された際に患者の安全とケアの質を維持するためには、この部門横断的なコラボレーションが不可欠です。

また、Dameff 氏と Tully 氏は、インシデント対応計画を定期的にレビューし、更新するための専任のガバナンス機関または委員会を設置する必要性も強調しています。両氏は、これらのガバナンス機関に権限を与え、現実的なシミュレーションや訓練を通じて対応計画をテストし、紙の記録に慣れていない若い臨床医を含むすべてのスタッフが、デジタル ツールなしでも効果的に業務を遂行できるよう準備しておくことを推奨しています。

さらに、Dameff 氏と Tully 氏は、外部とのコラボレーションの重要性を強調しています。両氏は、大規模なインシデントが発生した際に病院同士が互いに支援し合えるような地域および全国的なフレームワークを提唱しています。また、一時的に機能低下したシステムを代替できるテクノロジの "戦略的な国家的備蓄" の必要性を訴えています。 

ランサムウェア攻撃を効果的に阻止できる多層型のセキュリティ態勢を構築するには、多層防衛戦略を採用することが重要です。この戦略には、ネットワークからエンドポイント、クラウドにいたるまで、医療に関わるインフラストラクチャのすべての層を保護することが含まれます。複数の防御層を確実に導入することで、医療機関はランサムウェア攻撃が成功するリスクを低減できます。

この Microsoft のお客様に向けた多層的アプローチの一環として、Microsoft 脅威インテリジェンス チームは、敵対者の行動を積極的に監視しています。そのような活動が検出された場合は、通知が直接提供されます。

これは有料またはレベル別のサービスではなく、あらゆる規模のビジネスが同じ注意喚起を受け取ります。これは、ランサムウェアを含む潜在的な脅威が検出された場合に迅速に警告を提供し、組織を保護するための措置を支援することが目的です。

これらの防御層を導入するだけでなく、効果的なインシデント対応および検出計画を策定することが重要です。計画を策定するだけでは十分ではありません。医療機関は実際の攻撃時にその計画を効率的に実行し、被害を最小限に抑え、迅速な復旧を確実に行うための準備を整えておく必要があります。

最後に、継続的な監視とリアルタイムの検出機能は、強固なインシデント対応フレームワークの重要な要素です。これにより、潜在的な脅威を迅速に特定し対処することができます。

医療分野におけるサイバー レジリエンスに関する詳細情報については、米国保健社会福祉省 (HHS) が医療分野に特化した自主的なサイバーセキュリティ パフォーマンス目標 (CPG) を公表しており、医療機関が影響度の高いサイバーセキュリティ対策の実施を優先できるよう支援しています。

官民から成る協力体制によるコラボレーションを通じて作成された CPG は、業界共通のサイバーセキュリティのフレームワーク、ガイドライン、ベスト プラクティス、戦略を活用して作成されており、医療機関がサイバー対策の強化、サイバー レジリエンスの向上、患者の医療情報と安全の保護に活用できるサイバーセキュリティ対策のサブセットから構成されています。 

セキュリティを最優先する人材を育成するには、さまざまな分野にまたがる継続的な連携が必要です。総合的なインシデント対応計画を策定するには、IT セキュリティ チーム、緊急事態管理者、臨床スタッフ間の壁を取り払うことが重要です。この連携がなければ、サイバーインシデント発生時に、病院の他の部署が効果的な対応を行うための準備が十分に整わない可能性があります。 

Dameff 氏と Tully 氏は、医師、緊急事態管理者、IT セキュリティ スタッフなど、孤立して業務を行うことが多い社内チームをまとめることの重要性を強調しています。これらのグループをまとめ、包括的なインシデント対応計画を策定および実施することで、攻撃時の業務の混乱を防ぐことができます。

地域レベルでは、医療機関がキャパシティやリソースを共有できるようなパートナーシップを構築し、一部の病院がランサムウェアの被害に遭っても患者ケアが継続できるようにする必要があります。このような集団防衛の形は、患者が溢れないように管理し、医療プロバイダー全体で負担を分散するのにも役立ちます。

地域レベルでのコラボレーションに加え、国や世界規模での情報共有ネットワークもきわめて重要です。ISAC (情報共有分析センター) は、Health-ISAC など、医療機関が重要な脅威インテリジェンスを交換するためのプラットフォームとして機能しています。Errol Weiss 氏 (Chief Security Officer、Health-ISAC) は、これらの組織を "仮想の自警団プログラム" に例えており、会員組織は攻撃の詳細や実証済みの緩和手法を迅速に共有することができます。このようなインテリジェンスの共有により、他の組織が同様の脅威への備えや排除を行うことが可能となり、より大規模な集団防衛の強化につながります。