サイバー犯罪者がヘルスケアを攻撃している(しかし、私たちは反撃できる

2020年06月09日掲載
ピーテル・ダンヒョウ著
ケーススタディ

サイバー犯罪者がヘルスケアを攻撃している(しかし、私たちは反撃できる

2020年06月09日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

この記事の一部分は サイバーディフェンスマガジン.この記事はCyber Defense Magazineに掲載されたものを、ここでシンジケーション用に更新したものです。

昨今、サイバー攻撃は生活の一部となっています。銀行や航空会社、あるいはスマートフォンや信号機など、あらゆる機器に影響を及ぼす新たな脆弱性や侵害に関するニュースが、人々の耳目を集めています。私たちの家でさえ、もはや完全に安全ではありません。都市や町全体が毎日のように犯罪者に襲われ、攻撃者は侵害された重要なサービスを回復するために数百万ドルの身代金を要求しています。

しかし、私たちが安心していられる場所は、医師の診察室、あるいは病院です。人は医療従事者に相談するとき、最も無防備になります。人としての良識があれば、地域の臨床医が平穏にその尊い仕事をすることが許されるはずです。しかし、残念ながらそれは実現していません。今日のサイバー犯罪者たちの間には、名誉もなければ、自暴自棄もないように思われます。実際、医療問題を診断し、治療を行い、生命を維持するための機械を犯罪者が攻撃することで、医療は次の「偉大な」サイバーセキュリティの戦場となる可能性があります。私たちの目の前で持続的な世界的健康危機が展開されている今、この問題には多方面から取り組むことが重要です。

脅威はこれまで以上に個人的なものになっています。

ヘルスケア業界への攻撃は新しいものではありません。サイバー犯罪者たちは、患者の情報、個人情報、財務記録が裏社会やダークウェブで持つ価値をすでに知っています。これらの情報は、患者から直接お金を盗んだり、フィッシングやその他の詐欺などの二次的な攻撃の起点として利用されます。最近、最も被害の大きい攻撃の多くが医療機関を狙ったものであることも不思議ではありません。AnthemHealthcareでは、8,000万件の患者記録が盗まれました。Premeraでは1,100万人分の個人情報が失われました。CareFirst社では110万件の記録が盗まれましたが、その他にも様々な被害が発生しています。

現在のところ、医療機器を直接狙う攻撃は珍しいと思われています。しかし、ある報告書によると、病院が侵入を報告しなかったり、サイバーセキュリティの訓練を受けていない従業員が、目の前で攻撃が行われていることに気づかなかったりするなど、問題ははるかに広がっている可能性があるとのことです。マルウェアを使ってCATスキャンやMRIの結果に偽の腫瘍を追加するなど、恐ろしい方法で医療機器を危険にさらすことができることは、セキュリティ研究者によって決定的に証明されています。現実の世界でも、攻撃者が医療機器に対して同様のことを行っている可能性があると考えるのは、それほど大きな飛躍ではありません。

医療分野では、インターネットに接続され、膨大な量の情報を生成する小型センサーであるIoT(Internet of Things)機器への依存度が高まっていることもあり、サイバー攻撃に対して独特の脆弱性を持っています。しかし、これらのセンサーから得られる情報や、センサーの通信経路、さらにはセンサー自体のセキュリティを確保することは、ほとんどの場合、後回しにされてきました。このようなIoTネットワークに潜む潜在的な脆弱性を攻撃者が悪用する可能性は、ほぼ無限にあります。

ヘルスケアにおけるIoTは重大なリスクをもたらします。

患者の治療に欠かせないサービスは、20年前には想像もできなかったものもあり、IoTベースの脆弱性だけでなく、その他の伝統的な脆弱性の温床にもなっています。電子カルテ、遠隔医療、モバイルヘルスなどは、IoTが提供する情報の増加を待っていたかのようです。ヘルスケア分野でのIoTへの取り組みが驚異的であることも不思議ではありません。MarketResearch.comは、来年までにヘルスケア分野のIoT市場は1,170億ドルに達し、その後も毎年15%の割合で拡大していくと予測しています。

そのような環境では、熟練した攻撃者は、医療機器を悪用するための脆弱性をたくさん見つけることができます。医療機器に組み込まれたIoTセンサーは、通常、2つの方法のいずれかで通信し、データを生成します。あるものは、データを収集し、その結果をすべてインターネットに直接送信して分析します。また、フォグコンピューティングと呼ばれる分散型ネットワークを利用するものもあります。フォグコンピューティングでは、センサー自体がミニネットワークのようなものを形成し、どのデータを中央のリポジトリやプラットフォームと共有するかを集団で決定します。これらのデータは、医療従事者がさらに処理したり、直接アクセスしたりすることができます。

ヘルスケア業界におけるサイバーセキュリティ問題をさらに複雑にしているのは、この業界がデータ処理の標準、方法、保護について受け入れたり、合意したりしたことがないという事実です。歴史的に見て、ヘルスケア業界は、医療機器に独自の技術を提供するメーカーによって支えられてきました。現在では、埋め込まれたIoTセンサー、機器が使用する通信チャネル、収集したデータを分析するためのプラットフォームなどが含まれます。そのため、ほとんどの病院のネットワークはハッカーにとって夢のような場所であり、少なくとも、セキュリティの設定ミスからトランスポート層の保護機能の不備まで、あらゆるものを悪用できる格好の実験場となっています。また、クロスサイト・リクエスト・フォージェリから古典的なXMLインジェクション攻撃まで、あらゆる攻撃が可能です。

必要なカウンターパンチは目の前にあります。

これらの脆弱性が悪用された場合、大惨事になる可能性があるにもかかわらず、楽観的でいられることがあります:これらのセキュリティバグは、犯罪の黒幕が開いた強力なバックドアで、新しいものではありません。これらのセキュリティ・バグは、犯罪の黒幕が開いた強力な裏口というわけではなく、あまりにもありふれたものなので、何度も目にするとイライラしてきます。これらのバグが頭をもたげる理由の一つは、修正プログラムがあるにもかかわらずパッチが適用されていないレガシーシステムの使用によるものですが、もう一つは、再び人的要因に関係しています。開発者は、ものすごい速さでコードを書き、洗練された機能的な最終製品を作ることに集中しています。

あまりにも多くのソフトウェアが開発されているため、AppSecの専門家がそれに追いつくことはできませんし、このように繰り返し発生する脆弱性を常に解決してくれるとは期待できません。つまり、セキュリティチームと開発者は、強固なエンドツーエンドのセキュリティ文化を構築するために、さらなる努力をしなければならないということです。

優れたセキュリティ文化とは、具体的にはどのようなものでしょうか。いくつかの重要な要素をご紹介します。

  • 開発者は、一般的なバグを潰すために必要なツールやトレーニングを受けることができる(また、なぜそうすることが重要なのかを理解することができる)。
  • トレーニングは包括的で、消化しやすく、開発者の強みを生かすことができます。
  • 研修の成果は、評価基準と報告書によって適切に測定される(単なるチェックリストではなく)。
  • AppSecと開発者は、同じ言葉で会話するようになります。結局、ポジティブなセキュリティ文化の中では、同じような目標を達成するために働いているのです。

患者さんの医療記録が盗まれるだけではなく、災害の可能性はまだまだ大きいです。スキャンに偽の腫瘍を注入すれば、がんかどうかの判定を心待ちにしている患者さんはショックを受けるでしょう。また、薬を変えたり、治療計画を変更したりすれば、実際に命を落とすことにもなりかねません。しかし、利益のためにその一線を越えようとするサイバー犯罪者が1人いれば、必ず起こることです。次のランサムウェア詐欺は、病院のデータを暗号化するのではなく、何千人もの患者の診断を台無しにするかもしれない。あるいは、お金を払わないと薬を変えてしまうと脅して、文字通り命の身代金を要求する攻撃者が現れるかもしれません。

医療におけるサイバーセキュリティに関しては、もはや「business as usual」アプローチに従うことができないことは明らかです。すべての問題を解決するために、医療機関の1人か2人の専門家に頼ることはできないのです。その代わりに、医療用アプリやデバイスの開発に携わるセキュリティ意識の高い開発者が、潜在的な問題を認識し、施設に配備される前に修正する必要があります。また、医療従事者であっても、基本的なサイバーセキュリティのトレーニングが必要でしょう。

健康に勝るものはないと言っても過言ではありません。医療業界では、将来的にサイバーセキュリティに適した状態を維持するためには、今日、全体的なセキュリティ意識を高めることが重要です。真剣に取り組まなければ、この問題は悪化する一方です。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

サイバー犯罪者がヘルスケアを攻撃している(しかし、私たちは反撃できる

2024年1月22日発行
Pieter Danhieux著

この記事の一部分は サイバーディフェンスマガジン.この記事はCyber Defense Magazineに掲載されたものを、ここでシンジケーション用に更新したものです。

昨今、サイバー攻撃は生活の一部となっています。銀行や航空会社、あるいはスマートフォンや信号機など、あらゆる機器に影響を及ぼす新たな脆弱性や侵害に関するニュースが、人々の耳目を集めています。私たちの家でさえ、もはや完全に安全ではありません。都市や町全体が毎日のように犯罪者に襲われ、攻撃者は侵害された重要なサービスを回復するために数百万ドルの身代金を要求しています。

しかし、私たちが安心していられる場所は、医師の診察室、あるいは病院です。人は医療従事者に相談するとき、最も無防備になります。人としての良識があれば、地域の臨床医が平穏にその尊い仕事をすることが許されるはずです。しかし、残念ながらそれは実現していません。今日のサイバー犯罪者たちの間には、名誉もなければ、自暴自棄もないように思われます。実際、医療問題を診断し、治療を行い、生命を維持するための機械を犯罪者が攻撃することで、医療は次の「偉大な」サイバーセキュリティの戦場となる可能性があります。私たちの目の前で持続的な世界的健康危機が展開されている今、この問題には多方面から取り組むことが重要です。

脅威はこれまで以上に個人的なものになっています。

ヘルスケア業界への攻撃は新しいものではありません。サイバー犯罪者たちは、患者の情報、個人情報、財務記録が裏社会やダークウェブで持つ価値をすでに知っています。これらの情報は、患者から直接お金を盗んだり、フィッシングやその他の詐欺などの二次的な攻撃の起点として利用されます。最近、最も被害の大きい攻撃の多くが医療機関を狙ったものであることも不思議ではありません。AnthemHealthcareでは、8,000万件の患者記録が盗まれました。Premeraでは1,100万人分の個人情報が失われました。CareFirst社では110万件の記録が盗まれましたが、その他にも様々な被害が発生しています。

現在のところ、医療機器を直接狙う攻撃は珍しいと思われています。しかし、ある報告書によると、病院が侵入を報告しなかったり、サイバーセキュリティの訓練を受けていない従業員が、目の前で攻撃が行われていることに気づかなかったりするなど、問題ははるかに広がっている可能性があるとのことです。マルウェアを使ってCATスキャンやMRIの結果に偽の腫瘍を追加するなど、恐ろしい方法で医療機器を危険にさらすことができることは、セキュリティ研究者によって決定的に証明されています。現実の世界でも、攻撃者が医療機器に対して同様のことを行っている可能性があると考えるのは、それほど大きな飛躍ではありません。

医療分野では、インターネットに接続され、膨大な量の情報を生成する小型センサーであるIoT(Internet of Things)機器への依存度が高まっていることもあり、サイバー攻撃に対して独特の脆弱性を持っています。しかし、これらのセンサーから得られる情報や、センサーの通信経路、さらにはセンサー自体のセキュリティを確保することは、ほとんどの場合、後回しにされてきました。このようなIoTネットワークに潜む潜在的な脆弱性を攻撃者が悪用する可能性は、ほぼ無限にあります。

ヘルスケアにおけるIoTは重大なリスクをもたらします。

患者の治療に欠かせないサービスは、20年前には想像もできなかったものもあり、IoTベースの脆弱性だけでなく、その他の伝統的な脆弱性の温床にもなっています。電子カルテ、遠隔医療、モバイルヘルスなどは、IoTが提供する情報の増加を待っていたかのようです。ヘルスケア分野でのIoTへの取り組みが驚異的であることも不思議ではありません。MarketResearch.comは、来年までにヘルスケア分野のIoT市場は1,170億ドルに達し、その後も毎年15%の割合で拡大していくと予測しています。

そのような環境では、熟練した攻撃者は、医療機器を悪用するための脆弱性をたくさん見つけることができます。医療機器に組み込まれたIoTセンサーは、通常、2つの方法のいずれかで通信し、データを生成します。あるものは、データを収集し、その結果をすべてインターネットに直接送信して分析します。また、フォグコンピューティングと呼ばれる分散型ネットワークを利用するものもあります。フォグコンピューティングでは、センサー自体がミニネットワークのようなものを形成し、どのデータを中央のリポジトリやプラットフォームと共有するかを集団で決定します。これらのデータは、医療従事者がさらに処理したり、直接アクセスしたりすることができます。

ヘルスケア業界におけるサイバーセキュリティ問題をさらに複雑にしているのは、この業界がデータ処理の標準、方法、保護について受け入れたり、合意したりしたことがないという事実です。歴史的に見て、ヘルスケア業界は、医療機器に独自の技術を提供するメーカーによって支えられてきました。現在では、埋め込まれたIoTセンサー、機器が使用する通信チャネル、収集したデータを分析するためのプラットフォームなどが含まれます。そのため、ほとんどの病院のネットワークはハッカーにとって夢のような場所であり、少なくとも、セキュリティの設定ミスからトランスポート層の保護機能の不備まで、あらゆるものを悪用できる格好の実験場となっています。また、クロスサイト・リクエスト・フォージェリから古典的なXMLインジェクション攻撃まで、あらゆる攻撃が可能です。

必要なカウンターパンチは目の前にあります。

これらの脆弱性が悪用された場合、大惨事になる可能性があるにもかかわらず、楽観的でいられることがあります:これらのセキュリティバグは、犯罪の黒幕が開いた強力なバックドアで、新しいものではありません。これらのセキュリティ・バグは、犯罪の黒幕が開いた強力な裏口というわけではなく、あまりにもありふれたものなので、何度も目にするとイライラしてきます。これらのバグが頭をもたげる理由の一つは、修正プログラムがあるにもかかわらずパッチが適用されていないレガシーシステムの使用によるものですが、もう一つは、再び人的要因に関係しています。開発者は、ものすごい速さでコードを書き、洗練された機能的な最終製品を作ることに集中しています。

あまりにも多くのソフトウェアが開発されているため、AppSecの専門家がそれに追いつくことはできませんし、このように繰り返し発生する脆弱性を常に解決してくれるとは期待できません。つまり、セキュリティチームと開発者は、強固なエンドツーエンドのセキュリティ文化を構築するために、さらなる努力をしなければならないということです。

優れたセキュリティ文化とは、具体的にはどのようなものでしょうか。いくつかの重要な要素をご紹介します。

  • 開発者は、一般的なバグを潰すために必要なツールやトレーニングを受けることができる(また、なぜそうすることが重要なのかを理解することができる)。
  • トレーニングは包括的で、消化しやすく、開発者の強みを生かすことができます。
  • 研修の成果は、評価基準と報告書によって適切に測定される(単なるチェックリストではなく)。
  • AppSecと開発者は、同じ言葉で会話するようになります。結局、ポジティブなセキュリティ文化の中では、同じような目標を達成するために働いているのです。

患者さんの医療記録が盗まれるだけではなく、災害の可能性はまだまだ大きいです。スキャンに偽の腫瘍を注入すれば、がんかどうかの判定を心待ちにしている患者さんはショックを受けるでしょう。また、薬を変えたり、治療計画を変更したりすれば、実際に命を落とすことにもなりかねません。しかし、利益のためにその一線を越えようとするサイバー犯罪者が1人いれば、必ず起こることです。次のランサムウェア詐欺は、病院のデータを暗号化するのではなく、何千人もの患者の診断を台無しにするかもしれない。あるいは、お金を払わないと薬を変えてしまうと脅して、文字通り命の身代金を要求する攻撃者が現れるかもしれません。

医療におけるサイバーセキュリティに関しては、もはや「business as usual」アプローチに従うことができないことは明らかです。すべての問題を解決するために、医療機関の1人か2人の専門家に頼ることはできないのです。その代わりに、医療用アプリやデバイスの開発に携わるセキュリティ意識の高い開発者が、潜在的な問題を認識し、施設に配備される前に修正する必要があります。また、医療従事者であっても、基本的なサイバーセキュリティのトレーニングが必要でしょう。

健康に勝るものはないと言っても過言ではありません。医療業界では、将来的にサイバーセキュリティに適した状態を維持するためには、今日、全体的なセキュリティ意識を高めることが重要です。真剣に取り組まなければ、この問題は悪化する一方です。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。