医療へのサイバー攻撃

Written By Satoru Kimura

米国病院協会(AHA)のリック・ポラック会長兼最高経営責任者(CEO)は、「チェンジ・ヘルスケアのサイバー攻撃は、米国の医療システムに対するこの種の事件としては、嘗てないほど重大な被害をもたらしたものです」と言う。今年2月、米国最大の請求・支払いシステムに対するサイバー攻撃により、数百万人の患者の処方箋やサービスの処理が中断され、投薬や治療が遅れました。攻撃から2ヵ月後でさえ、AHAによる調査では、未払い請求による収入減のため、多くの医療サービスが中断する危険性に直面し、患者の医療サービスが受けられなくなるかもしれないことが明らかになりました。この大規模なサイバー攻撃は、医療に対するサイバー攻撃の脅威が増大していることを改めて浮き彫りにしました。

医療システムが攻撃されると、医療の提供が遅れ、必然的に患者の安全が危険にさらされます。2017年5月、世界的なWannaCryランサムウェア攻撃は、NHSイングランド全体の病院トラストの3分の1以上を混乱に陥れ、約7000件の予約がキャンセルされました。医療スタッフはデータを見ることも、医療を提供することもできず、外来診療もキャンセルせざるを得ませんでした。患者にとって、このような突然の混乱は苦痛であり、特に集中治療室に入っている患者や緊急治療が必要な患者にとっては深刻な結果をもたらします。医療システムは、膨大な量の患者の機密情報の保護を任されています。しかし、これらのシステムに侵入されると、患者データが盗まれたり、失われたりします。2021年5月、アイルランドの保健省・保健サービス行政局(HSE)に対するランサムウェア攻撃により、ITインフラの80%以上が影響を受け、数千のサービスがキャンセルされ、約10万人が個人データを盗まれました。サイバー攻撃後の経済的損失は甚大なものになります。米国のチェンジ・ヘルスケアに対するハッキングは、最大で10億〜60億米ドルの損害が予想されている。これらの攻撃は、医療を標的としたサイバー攻撃の驚くべき増加傾向の一部分でしかありません。欧州サイバー事件を扱った記録では、2022年の32件から2023年には121件へと世界的に増加したとされています。

件数が増加しているのは、医療システムの脆弱性が拡大しているからです。電子カルテ、医療機器、検査サービス、薬局、臨床意思決定支援システム、その他多くのアプリケーションやサービスは、デジタル的に相互接続され、多くの異なるユーザーによって利用されています。mHealth、遠隔医療、AI支援診断ツールなどの新しいデジタル技術の使用は、COVID-19パンデミックの間に拡大し、セキュリティ問題がほとんど考慮されないまま増殖していきました。同時に、多くの医療提供者や医療サービスは、いまだに時代遅れの技術やソフトウェアを使用しているのです。サイバー犯罪者は、システム全体を麻痺させるために脆弱な侵入口を1つ見つけるだけでよいのです。

相互接続されたデジタル・ソリューションへの依存度が高まるにつれ、リスクを理解する必要性も高まっています。しかし、地域レベルでの具体的なリスクや脆弱性を測定するための体系的に分析されたデータは乏しく、患者の直接的な被害や失われたデータを定量化することは非常に困難になっています。医療分野では、リスクを理解し、サイバー攻撃から保護、対応、回復する具体的な計画策定をする調査においては、エネルギー、運輸、原子力、水道など、重要インフラセクターに大きく遅れをとっています。HSEアイルランドの事例では、テクノロジー依存のリスクを十分に理解できず、そのような事態に対する事前の対応策がなかったため、時間を失って治療が遅れ、多くの患者が被害を受けました。

医療におけるより深刻な脆弱性は、資源に関するものです。Healthcare Information and Management Systems Societyの最新の調査によると、米国の医療機関はサイバーセキュリティに平均7%の支出を割り当てている。金融サービス部門とは異なり、医療にはサイバーセキュリティの専門家に同等の報酬を支払うだけのリソースがなく、人材を見つけることは容易ではなくなっています。サイバー攻撃から身を守るために必要なインフラ、リソース、規制の枠組みがはるかに不十分な低・中所得国では、このリスクは特に深刻です。医療システムや個人に何ができるでしょうか?サイバーセキュリティの研究とリソースへの投資は、他のセクターと同等レベルにしなければなりません。サイバー犯罪者は高度な技術を駆使していますが、システムへ最初に侵入するのは、単純なフィッシング詐欺や、二段階認証のような単純なセキュリティメカニズムが採用されていない場合であることが多いのです。こうしたリスクを理解し、適切な行動をとることは、個人レベルで重要です。医療におけるサイバーセキュリティの発生件数は増加しており、それは「もし」ではなく「いつ」の問題となっています。サイバーセキュリティは単なるITの問題ではなく、健康に関わる問題となっています。

原文記事:Cyberattacks on health care—a growing threat - The Lancet

Satoru Kimura
Previous

抗菌薬耐性

Next

運動ニューロン疾患:生活の質の向上