医療分野におけるモノのインターネット(IoMT)を狙ったサイバー攻撃は増加しており、この問題に取り組む医療機器メーカーや医療事業者、セキュリティ企業は、今後正念場を迎えるはずだ。
今や毎週のようにセキュリティ侵害の被害に遭った企業のニュースが流れているが、医療機器に対する攻撃は、通常のマルウェアへの感染や、個人識別可能情報(Personally Idenfiable Information、PII)の盗難よりも、はるかに重大な結果を引き起こす可能性がある。
医療機器への攻撃が成功してしまう原因には、ソーシャルエンジニアリングや、ネットワークへの侵入、ハードウェアやソフトウェアの脆弱性などがある。最近では攻撃手段としてランサムウェアや中間者攻撃、フィッシングなどがよく使われており、機器に対して物理的な干渉が行われることもある。
ネットワークのセキュリティを高めれば、攻撃者と医療システムの間には障壁を作れるが、それでは、従来のコンピュータシステムと同じような脆弱性や、攻撃コード、古いファームウェア、セキュリティホールなどの弱点を狙った攻撃から医療機器を守ることはできない。
医療機器のセキュリティは、2012年にIOActiveのセキュリティ研究者Barnaby Jack氏が、遠隔操作で心臓ペースメーカーに致死的な過電圧を加えることができるセキュリティホールを発見して注目を集めた。最近では、医療機器メーカーSt. Jude Medicalが、同社の心臓病治療に使用する医療機器に見つかった脆弱性を修正する事態に追い込まれている。
医療機器は、患者個人を傷つけたり脅迫することを目的とした標的型攻撃の対象になる場合もあるが、多くの攻撃は金銭的利益のために行われていると見られる。
2016年3月には、米国の医療グループMedStar HealthのITインフラがマルウェアの攻撃を受けて正常に機能しなくなる事件が発生しており、カリフォルニア州のHollywood Presbyterian Medical Centerは、同じ年にランサムウェアで重要なサービスを停止させられ、数千ドルの身代金を支払った。
RES UK & IrelandのバイスプレジデントJason Allaway氏は、米ZDNetに対して、病院にとって最大の脅威はランサムウェアだと語った。これは、この攻撃が「破滅的に効果的」であり、「データを失うことによる影響が、金銭的な被害を遥かに超える」ためだという。
「例えば金融機関などのほかの組織が持っているデータとは違い、医療情報には人の命を左右する価値がある」とAllaway氏は言う。「十分な情報がなければ、医療機関は最も基本的な鎮痛剤さえ処方できない。(中略)病院が厳格なバックアップポリシーを持っていない限り、医療スタッフが重要な治療を継続するには、身代金を払う以外にほとんど選択肢がない」
その一方で、Allaway氏は「ドキシウェア」が増加しつつあると述べている。ランサムウェアがデータへのアクセスを妨害するのに対して、ドキシウェアは情報をばらまくと脅迫するマルウェアだが、これは病院にとって大きな打撃になり得る。
提供:Wikimedia Commons