近年、米国のヘルスケアシステムを標的としたランサムウェア攻撃が2016年から2021年にかけて2倍以上に増え、必要とされる医療の提供が妨害されるとともに、何百万人もの人々の個人情報が流出する事態に陥っていることが、米ミネソタ大学公衆衛生学部のHannah Neprash氏らによる研究から明らかになった。Neprash氏は、「われわれは、さまざまな規模のランサムウェア攻撃が仕掛けられていることに加え、その深刻度が高まりつつあることも突き止めた。これは良いニュースとはいえない。医療提供者と患者にとっては恐ろしいことだ」と危機感を募らせている。研究の詳細は、「JAMA Health Forum」に12月29日掲載された。
ランサムウェアとは、ハッカーたちがコンピューターシステムをロックして使用できない状態にした上で、元に戻すためのランサム(身代金)を要求するマルウェア(悪意のあるソフトウェア)のことだ。Neprash氏らの今回の研究から、診療所や歯科医院から大規模な病院や外科センターまで、あらゆるレベルの医療機関がランサムウェアの攻撃を受けていることが明らかになった。
医療機関に対するランサムウェア攻撃の年間発生件数は、2016年の43件から2021年には91件へと2倍以上に増えていた。また、ランサムウェア攻撃によって約4200万人の患者の個人的な健康情報が流出し、危機的な状況下で救急車が進路を変えさせられたり、予定されていた治療が遅れたりキャンセルされたりするといった事態も発生していた。
Neprash氏は、「ランサムウェアを仕掛ける人たちは、ヘルスケア業界には潤沢な資金があり、医療サービスの提供再開のためなら身代金の支払いを厭わないことを知っているようだ。そのため、ヘルスケア業界を標的とした攻撃が増加の一途をたどっているのだろう」と指摘する。
今回の研究でNeprash氏らは、ヘルスケア業界におけるランサムウェア攻撃の発生を確認できるデータベースを作成した。このデータベースは、連邦政府の監督機関と民間のサイバーセキュリティ脅威インテリジェンス企業から収集した情報を組み合わせたものであるという。
全てのランサムウェア攻撃のうち、医療提供の妨害につながった攻撃の割合は44.4%に上り、その期間が1カ月以上に及んだ例もあった。ランサムウェア攻撃による被害は、検査や歯の治療の予約日の変更などで済んだ場合もあるが、深刻な事態を招いた場合もあった。2019年には、ランサムウェア攻撃を受けた米アラバマ州のスプリングヒル医療センターで1人の乳児が死亡した。乳児はサイバー攻撃の8日後に、同センターでへその緒が首に巻き付いた状態で生まれ、重度の脳障害が残った。そして、その9カ月後に死亡した。当時、同医療センターのコンピューターシステムがダウンしていたため、看護師たちが胎児の心拍の変化に気付かなかったという。乳児の母親は、もし変化に気付いていれば、医師が緊急帝王切開を指示していたはずだと裁判で主張。裁判でもそのような対応をとっていれば乳児を救命できた可能性があるとの見解が示されたが、同センターは不正を否定し、ランサムウェア攻撃を受けている間の診療継続は安全だったと結論付けた。
情報テクノロジー研究グループのポネモン研究所がまとめた2021年9月の報告書によると、米国のヘルスケア提供機関の約4分の1が、ランサムウェア攻撃が患者死亡の増加の原因になると回答。また、処置や検査の遅れによって予後不良になる(70%)、他の医療機関に転院あるいは移送する患者数が増加する(65%)、合併症が増加する(36%)といった回答もあった。
さらに、Neprash氏らのデータベースからは、ランサムウェア攻撃の58%が診療所を標的としていたことも明らかになった。次いで多かったのは病院を標的とした攻撃(22%)で、外来手術センター(15%)、精神医療施設(14%)、歯科医院(12%)が続いた。また、同氏は「ランサムウェア攻撃を評価する最も単純な方法は、個人の健康情報の流出件数を参考にすることだが、攻撃1回当たりの平均流出件数は2016年の約3万7,000件から2021年には約23万件へと大幅に増えていた」としている。
医療情報管理システム協会(HIMSS)のLee Kim氏は、実際にはNeprash氏らが今回報告した数よりも多くの医療機関を狙ったランサムウェア攻撃が行われている可能性が高いとの見解を示し、「考えられている以上に大きな問題であることは確実だと思う」と話す。その上で、医療機関のコンピューターシステムの安全性を向上させるための新たな法律を施行するとともに、医療機関をサイバー攻撃から守るために医療従事者に対する教育を強化する必要があると主張している。
[2023年1月4日/HealthDayNews]Copyright (c) 2023 HealthDay. All rights reserved.利用規定はこちら