セキュリティ上の脆弱性は、攻撃者がマルウェアを仕掛け、ネットワークに侵入し、機密データを盗み出す可能性があるため、あらゆる組織にとってリスクとなります。しかし、病院や医療機関は、たった一度の脆弱性攻撃が医療機器、医療記録、さらには患者の命にまで影響を及ぼす可能性があるため、特にリスクが高いとされています。セキュリティ企業Cyber Security Worksの最新レポートでは、セキュリティ上の欠陥がどのように武器化され、医療機関を攻撃する可能性があるかを検証しています。
CSWは、「医療製品における43の武器化されたCVEが患者ケアを脅かす」と題した報告書を作成するために、56のベンダーと846の製品を分析しました。最終的に、624件の脆弱性が発見・特定されました。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
43件の脆弱性は、患者ケアに日常的に使用される医療製品において悪用される可能性があります。これらの43件の脆弱性に対するエクスプロイトは公開されているか、攻撃者によって積極的に狙われているため、パッチを適用しない医療企業にとってリスクが生じます。
残りの4つのセキュリティ上の欠陥は、3つの異なるOracle製品で発見され、2006年から活動している中国が支援するグループであるAPT1(別名BrownFoxギャング)によるAdvanced Persistent Threat Groupsによって以前に悪用されたことがある。4つの脆弱性は、CVE-2020-11022、CVE-2020-11023、CVE-2015-9251、CVE-2019-11358である。
脆弱性のうち2つはランサムウェア攻撃に関連しています。そのうちの1つ(CVE-2020-0601)は、フランスのバイオテクノロジー企業Biomerieuxの製品で発見されました。この脆弱性は、Windows上で動作し、コード署名証明書を偽装するランサムウェア「BigBossHorse」に関連しています。
もう一つの脆弱性(CVE-2021-34527)は、手術用ナビゲーションプラットフォームメーカーであるStryker社の5つの異なる製品で確認されました。これらの製品には、悪名高いPrintNightmareの脆弱性が存在し、これら5つのデバイスのいずれかが攻撃を受けると、実際の手術に影響を及ぼす可能性があります。
CSWが確認した他の脆弱性も、それぞれ独自のリスクを伴います。そのうち12件はダークウェブで話題となっており、複数の投稿で議論されています。これは、攻撃者による悪用が容易であることを示しています。脆弱性のうち6件は、医療製品および医療機器に存在し、患者の死亡または障害を引き起こす可能性があります。また、8件はリモートコード実行のカテゴリに該当し、攻撃者が侵害されたシステムにリモートから接続して、その動作を制御または変更できることを意味します。
医療施設のセキュリティ上の欠陥を悪用する攻撃者は、患者を危険にさらす可能性があります。2021年1月、マカフィーは医療機器メーカーB. Braun社製の輸液ポンプに脆弱性を発見しました。この脆弱性が悪用された場合、患者への投薬量が誤っていた可能性があります。また、2019年には、米国のスプリングヒル医療センターがランサムウェア攻撃を受け、ネットワーク障害によりスタッフが胎児心拍モニターを利用できなくなり、乳児が死亡する事態が発生しました。
これらの脅威から身を守る方法
医療機関は、セキュリティの脆弱性を悪用する攻撃者から身を守るために、どのような対策を講じればよいでしょうか。CSWは以下の推奨事項を提示しています。
重大な脆弱性に迅速に対処することで攻撃のチャンスを短縮
サイバー犯罪者は、セキュリティ上の脆弱性が公開されたり、利用可能になったりすると、すぐに攻撃を仕掛けようと躍起になります。そのため、医療機関は、セキュリティ上の欠陥が広く悪用される前に、積極的に監視し、パッチを適用する必要があります。
セキュアアクセスサービスエッジソリューションと生体認証セキュリティを組み合わせる
セキュアアクセスサービスエッジソリューションは、セキュアリモートアクセス、オンプレミスセキュリティ、セキュアクラウドサービス、オンラインリソースなど、様々なサイバーセキュリティツールを組み合わせたものです。組織がユーザーとエンドポイントをあらゆるアプリケーションやサービスに安全に管理・接続するための適切な戦略を策定できるよう支援することがその目標です。生体認証セキュリティは、更なるレベルの保護を提供することで、サイバーセキュリティ管理においてより大きな役割を果たすことが期待されています。
電子健康記録システムの悪用を監視する
医師、病院、その他の医療提供者間で医療記録を共有する電子医療記録システムは、患者と医療施設の双方にメリットをもたらします。しかし、これらのシステムは攻撃者の標的となるケースが増えており、医療機関は患者情報の漏洩を防ぐためにシステムを監視する必要があります。
多要素認証を採用する
MFAは、パスワードのみの保護に加え、さらに強力な保護層を追加します。そのため、医療機関は、スタッフが患者の機密データにアクセスする前に、物理的なハードウェアトークン、またはパスコードやPINなどのソフトトークンの入力を要求するMFAシステムを構築する必要があります。
