医療機関を標的にしたランサムウェア攻撃対策に関連して、クラウドセキュリティアライアンスのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)は、2021年9月に「医療クラウドにおけるランサムウェア」(https://cloudsecurityalliance.org/artifacts/ransomware-in-the-healthcare-industry/)を公開している。この文書は、医療クラウド上で拡大するランサムウェア脅威に対して、医療機関が、NISTサイバーセキュリティフレームワークに準拠しながら取組むべきリスク低減策を紹介することを目的としている。
米国MITREが医療ランサムウェア対策支援ポータルを開設
医療機関を標的にしたランサムウェア被害が続出する米国では、2021年3月2日、連邦政府の支援を受けた非営利団体MITREが、ランサムウェア対策支援センター「Health Cyber」(https://healthcyber.mitre.org/)を公開Web上に開設したことを発表している。
Health Cyberは、医療機関の経営管理部門、臨床技術部門、IT/セキュリティ実務家の3つのカテゴリーに合わせたコンテンツ作成・発信を行っている点が特徴である。たとえば、経営管理部門向けには、以下のようなメニュー構成の情報発信を行っている。
- ランサムウェアに関する学習
- 感染回避のためのスタッフ向けトレーニング
- サイバー対応計画の評価
- サイバーセキュリティ業務の評価
- 敵対者の理解
他方、臨床技術部門向けには、以下のようなメニューを展開している。
- サイバーセキュリティ業務の評価
- 重要な資産の特定
- 技術的準備の評価
- コミュニティグループへの参加
また、IT/セキュリティ実務家向けには、以下のようなメニューを展開している。
- 技術的準備の評価
- 敵対的な戦術と技術の理解
- サイバーイベントの検知
- サイバー分析の展開
- 防御の設計
MITREはNIST傘下の国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)と連携して、電子カルテシステム、無線輸血ポンプシステム、医用画像保存通信システム(PACS)、遠隔患者モニタリングシステムなどの、医療機関向け指針・ベストプラクティス集を策定・公表する(https://www.nccoe.nist.gov/healthcare)など、医療サイバーセキュリティ対策支援活動を行っている。クラウドセキュリティアライアンスも、クラウド環境上の医療サイバーセキュリティ領域で、MITREとの連携関係を強化している。
ランサムウェア攻撃の共通パターンとは?
前述のCSAの「医療クラウドにおけるランサムウェア」では、ランサムウェアについて、デジタル恐喝の形態で被害者を標的にするマルウェアの一種である。攻撃者は、被害者のデータを暗号化し、身代金が支払われるまでデータへのアクセスをできないようにする。ランサムウェアを大別すると、ファイルを暗号化してアクセスできないようにするものと、デバイスを無能力化するものの2種類がある。ランサムウェア攻撃には、以下の通り、7段階の共通パターンがあるとしている。
- 偵察:このステージの主要な目的は、ターゲットのシステムにおける弱点を定めることにある。
- 配布と展開:これは、マルウェアが配布され、その展開が始まる時である。持続性も、このステージで設定される。
- 搾取と感染:このステージでは、攻撃者が、攻撃計画を最終化し、初期調査の後にターゲットマシンを感染させる。ターゲットはランサムウェアに感染するが、ファイルはまだ暗号化されない。
- スキャニングとバックアップの破棄・改ざん:ランサムウェアは、重要なファイルをスキャンし、バックアップファイルやフォルダーを暗号化して削除するか、バックアップの同期がバックアップを感染させるまで待つ。
- ファイルの暗号化:ランサムウェアは、選択されたファイルを暗号化する。
- ユーザーへの通知とクリーンアップ:ランサムウェアは、証拠を隠滅するために、システムをクリーンアップする。犠牲者に通知され、金額が上がる前に支払うための数日が与えられる。
- 支払プロセス:正しく行われた場合、ランサムウェア攻撃は、支払を強制するために、ビジネスへのインパクトを最大化するよう設定される。支払は、追跡を困難にするためにビットコインで実行される(出典:Kumar & Ramlie, 2021)。
多様化・複雑化するランサムウェア攻撃手法
ランサムウェア攻撃は、医療機関に壊滅的な打撃を与える可能性がある。たとえば、価値のある代替不可能なファイルが損失したり、感染を除去してシステムを再稼働するために、膨大な時間を要するような事態に陥ったりする場合がある。医療機関は、セキュリティ実務家が、リスク低減のためのコントロールを設定できるように、ランサムウェアがシステムに侵入する方法を理解しておく必要がある。
攻撃者は、ソーシャルまたはフィジカルのエンジニアリング手法を使って、以下のような攻撃を仕掛ける
- フィッシング:フィッシングは、電子メールを利用して、ユーザーにリンクをクリックさせるか、悪意のあるコードを実行する添付物を開かせる。
- SMSフィッシング(SMSishing):SMSフィッシングは、テキストメッセージを利用して、ユーザーがwebサイトへ行くよう促す。SMSフィッシング・ランサムウェアの中には、デバイスの連絡先一覧にある全連絡先に送信して、自ら伝播するものがある。
- ボイスフィッシング(Vishing):ボイスフィッシングは、ボイスメールを利用して、ユーザーを欺く。ボイスメールの受信者は、電話番号にかけるよう指示される。ボイスメールは、いくつかの段階を通して、ユーザーに、資格情報の入力、マルウェアのダウンロードなど、架空の問題を修正させる。
- ソーシャルメディア:ソ-シャルメディアは、ユーザーに、マルウェアを含む画像をダウンロードさせるために、利用することができる。
- インスタントメッセージ:インスタントメッセージは、ユーザーの連絡先一覧にマルウェアを配布するために、ハックして利用することができる。
また、物理的エンジニアリング手法による攻撃は、通常M2M(Machine-to-Machine)経由で、ほとんど人の介在を必要としない。具体的には、以下のようなタイプがある。
- ドライブバイ:悪意のあるコードを含むwebページを開くことが唯一の要件である。
- システム脆弱性:システムに侵入し、マルウェアをインストールするために、悪用することができる。
- マルバタイジング(Malvertising):この種の攻撃では、マルウェアが広告に挿入され、ユーザーがクリックしてマルウェアをダウンロードする(出典: Singh, 2019)。