警視庁が今、医療機関をターゲットにしたサイバー攻撃について警戒するよう呼びかけています。
2021年10月、徳島県にある病院が「身代金要求型」のサイバー攻撃を受け、支払いを拒否したために電子カルテなどが使えなくなりました。この結果、新規患者の受け入れ中止や一部の手術の延期など、患者にも大きな影響が出ました。病院の被害はシステム改修など数億円規模に及びました。
こうした中、警視庁のサイバーセキュリティー対策本部は、医療従事者向けのセキュリティーセミナーを開催しています。東京・葛飾区では5月、医療機関でセミナーも行われました。2021年の1年間の被害状況を見てみると、企業を狙ったサイバー攻撃の主流となっている「ランサムウエア(身代金請求型)」の業種別の被害は自動車メーカーなどの「製造業」が中心ですが、初めて「医療・介護業界」でも被害が確認されました。ランサムウエアは感染するとパソコンのモニターに不審な画面が突然表示され、データが暗号化されて使えなくなってしまいます。「元に戻してほしければお金を振り込め」と要求されるので、身代金型といわれています。さらにデータが暗号化されると同時に盗み取られ「お金を支払わないと、データを自由にダウンロードできるようにするぞ」とカウントダウンをして脅迫してきます。二重に脅迫される恐怖が襲います。
では、なぜ医療機関への攻撃が増えているのでしょうか。サイバーセキュリティーに詳しい「トレンドマイクロ」の岡本勝之さんによると「医療機関は重要な個人情報を多く扱っていて、高額の身代金が期待できること」と「セキュリティーが他の業界よりも比較的弱い」という2つの要因が挙げられるといいます。
2点目の「セキュリティーが弱い」という点では調査結果もあります。全国の1144医療機関へのアンケートによりますと、「脆弱(ぜいじゃく)性の指摘されたシステムを使用している」という医療機関が全体の40%もあり、そのうち「脆弱性に対して対策をしていない」「分からない」と答えた医療機関が合わせて30%を超えています。さらに、対策をしていない理由については「知らなかった」が34%、「予算がなかったから」が11%となっています。この結果に対し、四病院団体協議会は「特に中小病院ではセキュリティーの専門家を配置する予算的な余裕がない」「診療報酬が決まっていて、セキュリティー費用を診療報酬に上乗せできない」といった状況があるとして、厚労省に対し、セキュリティー対策の公的補助を求めています。
そしてシステムはもちろんのこと、働いているスタッフの意識も重要です。医療業界に限らずリモートワークなども増えている中、トレンドマイクロの岡本勝之さんは「悪質なUSBからの感染が増えている」として「不審なUSBは接続しないこと」、さらに感染事例もあるとして「業務用で使っているパソコンで私用のSNSを見ないこと」、さらには「パスワードは小まめに変える」といった対策をするよう指摘しています。
