公共インフラを狙ったサイバー攻撃の阻止を目的とする非営利団体、Institute for Critical Infrastructure Technology(ICIT)が、「Hacking Healthcare IT in 2016」と題する報告書を発表し、以下のように警告した。
「医療関連機関は米国の生命線を握るインフラストラクチャの一つだが、膨大な数の正体不明なハッカーによる執拗な攻撃にさらされている。そうしたハッカーの目的は、セキュリティ強度の低いレガシーなシステムに放置されている脆弱性を悪用することだ」
報告書にはこの分析を裏付ける統計情報が掲載されているが、それよりも注目に値するのは、専門家たちの間で「医療関連機関の恥辱の殿堂」という通称で呼ばれているリストだ。米保険福祉省の公民権局は、500名以上の個人情報が漏えいした事例をリストにして公開している。この「恥辱の殿堂」によると、2015年には医療関連機関で230件の情報漏えいが発生し、個人情報漏えいの被害に遭った罪のない患者の人数は、実に1億1000万人を超えた。
一方、セキュリティ企業のGemaltoが発表した報告書、「Findings of First Half 2015 Breach Level Index」により、別の重大な統計情報が明らかにされた。
「全世界で流出した情報の約3分の2は、政府当局と医療関連機関が流出元となっている(それぞれ31%と34%)。ただし、情報漏えい事件の件数に医療関連機関が占める割合を見ると、2015年上半期は21%で、前年同時期の29%よりは減少した」
情報漏えい事件の件数が2014年より減ったとはいえ、流出した情報の件数自体は増えている。
医療関連機関が標的になる理由
理由の一つは、個人の医療情報が高い価値を持つからだ。攻撃に成功すれば、ハッカーは個人の識別情報、経済状況、健康状態などをまとめて入手できる。もう一つの理由は、ハッカーは最も簡単な標的を狙う傾向が強いからだ。そして現状、最も仕留めやすい標的が医療関連機関なのだ。医療関連機関がそれほど脆弱な状態に置かれている理由については、複雑な話になる。
この謎を解くヒントは、ICITの報告書で言及されている。「通常、患者は身体の具合が悪いときに医療関連機関を訪れる。患者が心臓発作で命の危険にさらされているとき、その患者の誕生日がどのように記録されたか気に掛ける者はいない」
患者の救命に全精力を傾ける医療従事者の方針に異議を唱えるのは、難しい。しかしハッカーはわれわれと同じ倫理観を共有していない。ハッカーらは、医療関連機関においてデータセキュリティの優先度が低いという事実を最大限に悪用する。
そして現在、医療関連機関はElectronic Healthcare Record(EHR)システムによる患者情報の統合に向けた激変期にあり、ハッカーはそれを絶好の機会だと捉えている。セキュリティ企業のExabeamでCEOを務めるRick Caccia氏は次のように述べている。「医療関連機関では政府機関と同様に、何層ものレガシーなシステムを土台にして現在のシステムを構築している場合が多い。こうした環境には、ハッカーが付け入るセキュリティ上の隙が生まれやすい。セキュリティに穴があるシステムに、極めて高い価値を持つ情報を保管すれば、攻撃を受けるのは時間の問題だ」