米国政府は、北朝鮮が支援するサイバー犯罪者による継続的なランサムウェア攻撃に注意し、自衛するよう医療関連企業に警告を発した。FBI、サイバーセキュリティ・インフラセキュリティ庁、財務省は水曜日に発表した共同勧告の中で、国家支援を受けたこれらの攻撃者がマウイランサムウェアを用いて病院、研究所、その他の公的および民間の医療機関を標的にしていると警告した。
北朝鮮の国家支援を受けたサイバー犯罪者は、電子カルテ、診断、画像診断、イントラネットといった重要な医療サービスのサーバーとデータを暗号化するために「マウイ」を使用しています。病院や医療機関は適切なセキュリティ対策を講じていない場合があり、これらの攻撃は重要な医療サービスを長期間にわたって中断させる可能性があります。
北朝鮮が医療を狙う理由
敵対的な国家によるサイバー攻撃は、通常、政治的または軍事的な理由から、重要なインフラや防衛システムに影響を及ぼすことを目的として実行されます。一方、ランサムウェア攻撃は利益を目的としています。なぜ国家支援を受けた攻撃者がランサムウェアを戦術として用いるのでしょうか?
「国家主導のランサムウェア攻撃は、特に北朝鮮、中国、ロシアのハッカー集団の間で、典型的な国際的侵略行為となっている」と、セキュリティプロバイダーibossの共同創業者ポール・マルティーニ氏は述べた。「残念ながら、北朝鮮は特に、核兵器計画の資金源となっている追跡不可能な暗号通貨を確保するために、医療業界を含む様々な業界を無差別に標的にすることをいとわない姿勢を示している。」
医療業界はランサムウェアに対して特に脆弱です。こうした組織は、サイバーセキュリティに十分な時間やリソースを割いているとは限りません。病院などの事業所は、機密性の高い医療・健康データを保有しており、悪用される危険性があります。また、こうした施設は長期間の業務停止を許容できないため、業務を再開させるためだけに身代金を支払う可能性が高くなります。
「ランサムウェアの攻撃者は、医療機関が魅力的な被害者だから攻撃しており、医療業界には容赦しません」と、セキュリティ企業Redactedの脅威情報担当ディレクター、アダム・フラットリー氏は述べています。「ランサムウェアの攻撃者は、医療機関から金銭を脅迫する過程で、誰を傷つけるかなど気にしません。彼らは人々の生活やビジネスを破壊し、病院の場合は全く良心の呵責を感じることなく人命を危険にさらします。これらのグループは、医療機関を意図的に標的にしています。そうすることで感情的な打撃を与え、恐喝金の支払いを強要できると知っているからです。」
北朝鮮が支援する医療機関に対するランサムウェア攻撃は1年ほど前から続いているが、マルティーニ氏によると、それ以来、攻撃は劇的に増加し、より巧妙化している。北朝鮮やロシアといった国々も、特にパンデミックのさなか、米国の医療提供能力を混乱させることで大きな利益を得ている。
これらの攻撃から身を守る方法
こうした種類のランサムウェア攻撃から身を守る必要がある医療機関を支援するために、このアドバイザリではいくつかの推奨事項を示しています。
機密データへのアクセスを制限する
公開鍵基盤(PKI)とデジタル証明書を用いて、重要なデータへのアクセスを制御します。これらのツールは、ネットワーク、IoT(モノのインターネット)医療機器、電子医療記録システムとの接続を認証できます。また、転送中のデータへの中間者攻撃による侵害も防止します。
管理者アカウントの使用を減らす
社内システムにアクセスするには、管理者アカウントではなく標準ユーザーアカウントを使用してください。管理者アカウントはネットワーク全体またはドメインへの侵入に利用される可能性があり、攻撃者にとって格好の標的となります。
脆弱なネットワークプロトコルを無効にする
広域ネットワーク(WAN)のTelnet、SSH、Winbox、HTTPなどのネットワークデバイス管理インターフェースを無効にしてください。ネットワークアクセスは、強力なパスワードと暗号化によって保護されていることを確認してください。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
患者情報の保護
すべての個人識別情報と保護対象医療情報は、すべての収集ポイントで安全に保管してください。保存時と転送時の両方で、トランスポート層セキュリティなどのプロトコルを使用してデータを暗号化してください。患者の個人データは、ファイアウォールで保護された社内システムにのみ保存し、万が一情報が漏洩した場合に備えて、完全なバックアップが確実に利用できるようにしてください。
保存されたデータを安全に保つ
保存されたデータを保護するために、表示される永久口座番号をマスクします。これにより、保存時に情報が読み取られることがなくなります。
HIPAA規制に従う
HIPAA規制に従い、PII(個人識別情報)とPHI(医療情報)を適切に保護、保管、処理してください。これらの規制に従うことで、システムをマルウェアから保護することができます。
ネットワークをセグメント化して監視する
多層ネットワークセグメンテーションを実施し、最も重要なデータが最も安全で信頼性の高いレイヤーに保存されるようにします。監視ツールを使用して、IoTデバイスが正常に動作していないか(侵害の可能性など)を判断します。
セキュリティポリシーを確認する
PII および PHI の保存とアクセスを規制する社内ポリシーを定期的に確認してください。
組織は、米国をはじめとする各国で採用されているゼロトラスト・サイバーセキュリティ・モデルにも移行すべきだとマルティーニ氏はアドバイスしています。具体的には、NISTが800-207で定義するゼロトラスト・アーキテクチャに重点を置くべきです。
「ゼロトラストモデルは、すべての重要なアプリケーションとデータが攻撃者から完全にアクセス不能となり、従業員のみがアクセスできるようにします。つまり、リソースは本質的に完全にプライベートなものになります」とマルティーニ氏は述べた。「NIST 800-207によると、ゼロトラストの目標は、問題の核心、つまりデータとサービスへの不正アクセスを防ぐことです。北朝鮮がそもそもリソースにアクセスできなければ、この種の攻撃は成功しません。」
訂正: 本記事のタイトルを修正し、これらが国家主導のランサムウェア攻撃であることを明確にしました。この重要な点を指摘してくださった著者のランス・ホイットニー氏に感謝します。
