アイルランドの医療サービスがランサムウェア『Conti』による大規模サイバー攻撃の被害 （後編）

病院を標的とした攻撃の標準的な手順

本記は「アイルランドの医療サービスがランサムウェア『Conti』による大規模サイバー攻撃の被害 （前編）」の後編となります。

はじめに：攻撃の手法と対策に迫る

アイルランド国民医療サービス庁（HSE）を標的としたContiランサムウェア攻撃は、医療機関におけるサイバーリスクの深刻さを改めて世界に示しました。本記事では、攻撃に使用された手法を紐解くとともに、同様の脅威に備えるための具体的な対策について解説します。医療現場が直面する現実を理解し、被害を最小限に抑えるための第一歩となる情報をお届けします。

Wizard Spiderによる攻撃手法の全体像

Bleeping Computerは、アイルランドの国民医療サービス庁（HSE）への攻撃は、ロシアを拠点とするサイバー犯罪グループ『Wizard Spider』が関与していると見ており、彼らの典型的な攻撃手法の概要を次のように伝えています。攻撃者は通常、フィッシングメールから攻撃を開始します。これらのメールには、TrickBotまたはBazarLoaderというトロイの木馬型マルウェアをコンピュータに感染させるリンクが含まれています。これら2つのプログラムは、「トロイの木馬型」または「バックドア型」マルウェアであり、感染したマシンの遠隔操作や、他のマルウェアの展開に使用されます。

フィッシングから始まるAPT型攻撃の流れ

1つのエンドポイントの侵害に成功すると、攻撃者は認証情報やデータの窃取を始めます。盗み出された認証情報は、ネットワーク上での権限昇格や広範囲へのアクセスを可能にする足がかりとなり、攻撃は指数関数的に拡大していきます。攻撃者は、十分なアクセス権限とアップロード権限が確保できると、1週間のうちでユーザーアクティビティが低下する時期（たとえば、休日など）を見計らってランサムウェアを仕掛け、ネットワーク上のあらゆるコンピュータを暗号化してロックします。そして、身代金の支払い要求に応じなければ盗んだデータを公開すると脅迫する通知を送りつけます。これが、現代のAPT（Advanced Persistent Threat：持続的標的型攻撃）グループの典型的な手口です。

医療現場における人的リスクとSAEの重要性

特殊なランサムウェアは、サイバー犯罪集団からの本格的な攻撃に備えができていない組織で猛威を振るっています。多忙な医療環境において、SAE（Security Awareness Education：セキュリティ意識向上教育）の時間を確保することは困難ですが、SAEがこれらの攻撃の起点となるフィッシングメールへの対策として大いに役立つという点は注目に値します。世界的な新型コロナウイルス感染症のパンデミックにより、医療従事者はすでに長時間労働を強いられており、疲労は経験豊富なスタッフでさえも騙されやすくする要因となっています。医療が人間社会において不可欠な役割を担っていることを考えると、過負荷状態にあるミッションクリティカルなシステムを破綻させるように設計されたサイバー攻撃にとって、この状況はまたとない機会です。これに対する解決策の1つは、使いやすく、理解しやすく、そして誤操作を自然に防ぐ手法を採り入れることです。

理想的な防御策：許可リストとセグメンテーション

病院にとって理想的なソリューションは、軽快に動作し分かりやすいものです。許可リストとネットワークセグメンテーションがその例として挙げられます。許可リストのシンプルな技術は、あらかじめリストにない操作や変更をすべて禁止するため、固定用途のシステムを攻撃から保護するのに最適です。レガシーエンドポイントのこのようなロックダウンには、当社のStellarEnforceをお奨めします。一方、ネットワークセグメンテーションは、エンドポイントが業務遂行のために必要な他のエンドポイントとのみ通信するようにする手法です。これで、ハッカーがネットワーク内で水平移動したり、脅威を拡散させたりすることがかなり困難になります。

ITからOTへ拡大する脅威と次世代ソリューション

現在、病院への攻撃は主にITを標的としていますが、他の多くの分野でそうであったように、まもなくその境界を越えてITからOTへと移行するでしょう。そのため、EdgeFireのような次世代のアプライアンスは、堅牢な防御を実現する確実な選択肢となります。

医療業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。

おすすめ記事

　　

【ウェビナー解説記事】医療機関のサイバー攻撃実例から考える医療情報システムのサイバーセキュリティ対策ポイント

本ウェビナーでは令和5年5月に策定された「医療情報システムの安全管理に関するガイドライン第6.0版」の改訂ポイントの解説と実例をもとに、医療情報システムをサイバー攻撃から守り安全に管理するための対策ポイントについて解説します。

　　

FDA 医療機器ガイダンスにおけるサイバーセキュリティについて：考慮すべき事項とソリューション

米国 FDA 発行「医療機器のサイバーセキュリティ：品質システムの考慮事項と市販前申請の内容」は、医療機器メーカーが機器の市場参入前に潜在的な脆弱性に積極的に対処できるようにするためのガイダンスです。本ホワイトペーパーでは、市販前提出物にサイバーセキュリティ情報を含めるという FDA の推奨事項を分析。最も重要なサイバーセキュリティ設計と提出内容を指摘し、TXOne の観点からソリューションを提供するための洞察と戦略について解説します。

　　

医療分野のIT/OTサイバーリスクを軽減する5つの重要な対策

医療分野におけるIT/OTサイバーセキュリティのリスクを軽減するための5つの重要な対策 について解説します。