デジタルパンデミック： 医療部門に対するランサムウェア攻撃

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事（2024年10月2日付）を翻訳したものです。

ランサムウェア攻撃は医療部門を長らく苦しめ続けています。医療部門を狙った初めてのランサムウェアインシデントとして知られているのは、生物学者のジョセフ・L・ポップが世界保健機関（WHO）の国際エイズ会議に出席し、マルウェアに感染したフロッピーディスク2万枚を配布した1989年の事例でした。それ以来、ランサムウェア攻撃はますます巧妙化しており、医療機器やネットワーク、サーバー、PC、データベース、そして医療記録のみならず、医療機関で使用するシステムの脆弱性が攻撃者のターゲットにされています。最近発生したチェンジ・ヘルスケア、Synnovis、ルーリー小児病院に対するランサムウェアインシデントは、サイバー攻撃が医療機関に与える壊滅的な影響だけでなく、医療部門の弱点と現在の防御体制の不十分さを浮き彫りにしました。だからこそ、それぞれの医療機関がこれまで以上に先を見越した戦略で対抗しない限り、医療部門を狙ったランサムウェア攻撃は増え続けるものと思われます。

医療部門を狙うランサムウェアの最新動向

医療組織に対するランサムウェア攻撃は2018年以降、世界で743件発生し、ダウンタイムのコストが1日平均約90万ドルを計上するなど、医療部門の大きな脅威として認識されています。Silobreakerのレポートによると、2023年に公に報告されたランサムウェア攻撃は922件あり、そのうち177件が医療部門を狙ったもので、137件が米国を標的にしていました。これまでのランサムウェアアクターはこの部門を狙うことに消極的でしたが、大きな金銭的利益を得られる機会として認知されたことが一因となり、同部門に対する攻撃が近年増加したと考えられています。その結果、医療機関はランサムウェア攻撃の頻度と経済的影響の高まりに多大なプレッシャーを感じるようになり、多くの組織がこの増大する脅威への対応に苦しむようになりました。具体例として、米イリノイ州スプリングバレーのSt. Margaret’s Healthは2023年6月、ランサムウェア攻撃による財政圧迫などで完全閉鎖に追い込まれた初めての病院となっています。

悪名はせるランサムウェアアクターが医療部門を標的に

医療部門を最も攻撃するランサムウェアグループとして、LockBit 3.0、ALPHV、BianLianの名前が挙げられます。MITRE ATT&CKに記された戦術・技術・手順（TTP）のうち、これらのアクターに多用されている手口はフィッシング（T1566）、有効なアカウント（T1078）、リモートサービス（T1021）、サービス停止（T1489）、データ暗号化（T1486）となっています。

2024年3月30日〜9月26日に発生した医療部門へのランサムウェア攻撃

アクタープロファイル：ALPHV

「BlackCat」の名でも知られるALPHVランサムウェアグループは、2021年12月頃に活動を開始しています。それから2024年3月に出口詐欺を働くまでの間、このグループは医療部門を最も震え上がらせたランサムウェア・アズ・ア・サービス（RaaS）オペレーションとしてLockBit 3.0と並ぶ存在でした。ALPHVがこの部門を最も狙うようになったのは2023年12月以降で、同グループの運営者が病院を攻撃するようアフィリエイトに呼びかけたことがきっかけになっています。ALPHVはChange Healthcare（チェンジ・ヘルスケア）やJewish Home Lifecare、Valley Health Network（いずれも米国）などに対する攻撃を含め、世間を騒がせた医療部門への攻撃を何度も実行しました。

アクタープロファイル：LockBit 3.0

LockBit 3.0も同様に医療部門を狙う主要なRaaSプロバイダーとして2023年に初めて登場し、報告された攻撃全体の30％以上に関与しています。このグループは2024年初頭に一時的な機能停止に陥ったにもかかわらず、カンヌ・シモーヌヴェイユ病院（フランス）、Community Clinic of Maui（米国）、University Hospital Centre Zagreb（クロアチア）などへの攻撃を含め、医療部門を狙った顕著なランサムウェア攻撃を度々実行しました。

LockBit 3.0はモジュール型を採用しており、ペイロードも実行されるまで暗号化されているため、検知を回避する能力が高く、マルウェア分析を困難にしています。このランサムウェアは初期アクセスを獲得するため、リモートデスクトッププロトコル（RDP）の悪用、フィッシング、公開アプリケーションにおける脆弱性の悪用、ドライブバイ攻撃、有効なアカウントの悪用など複数の手法を使います。また、データの抜き取りにはLockBit 2.0で以前使われたカスタムツール「Stealbit」のほか、「Rclone」を始めとする各種ツールや、「MEGA」など一般に広く利用されているファイル共有サービスを使用します。

アクタープロファイル：BianLian

2021年に初めて確認されて以来、BianLianランサムウェアグループは高度に巧妙化された脅威へと進化し、2023年には暗号化ベースの攻撃からデータ恐喝モデルに移行しました。医療部門に大きな脅威を与えているグループで、2024年1月以降に観測された攻撃の18.3％で同部門を標的にしています。攻撃には多段階の戦略が使われ、有害な添付ファイルや侵害されたWebサイトへのリンクを含むフィッシングメールをまず送り付けます。初期アクセスの獲得には、初期アクセスブローカーから、あるいはフィッシングで取得したと思われる侵害されたRDPクレデンシャルも使われています。また、BianLianはGo言語で記述されたカスタムバックドアを使うだけでなく、永続化とC2通信に「TeamViewer」や「AteraAgent」などのリモート管理アクセスソフトウェアを、ネットワーク偵察には「Cobalt Strike」を、データの持ち出しには「Rclone」を使用しています。

ALPHV、LockBit、BianLianの各ランサムウェアと医療部門および医療組織について、2024年1月1日〜9月1日に観測された言及数

医療部門を狙ったランサムウェア攻撃の注目事例

チェンジ・ヘルスケア（Change Healthcare）

2024年2月21日、この米国のヘルスケアテクノロジー企業はサイバー攻撃に見舞われ、広範囲なネットワーク障害が発生したことを明らかにしました。歯科、調剤、医療記録、臨床サービス、患者登録、エンゲージメント、収益、決済サービスに関連するシステムを含めて100以上の重要なアプリケーションに影響が及んだこの攻撃により、患者が投薬・医療サービスにアクセスできなくなったほか、Northeast Ohio Neighborhood Healthや米退役軍人省を含む多くの医療プロバイダーに被害が広がりました。チェンジ・ヘルスケアの親会社ユナイテッドヘルス・グループ（UnitedHealth）のアンドルー・ウィッティCEOは後日、このランサムウェア攻撃がALPHVによるものであることを明らかにしています。同グループはCitrix NetScalerの重大な脆弱性「CitrixBleed」を悪用し、多要素認証（MFA）を使っていないチェンジ・ヘルスケアのCitrixポータルのリモートログイン認証情報を侵害しました。

ALPHVによると、チェンジ・ヘルスケアが2,200万ドルの身代金を支払ったにもかかわらず、盗まれたデータはRansomHubを名乗る別のグループによって最終的にオンラインに流出しました。このグループは2024年4月8日、チェンジ・ヘルスケアに対する2度目のランサムウェア攻撃と4TBのデータ窃取について犯行声明を出しています。この時点でALPHVは、出口詐欺を働いたとみなされて正式に消滅していました。そしてその直後から、RansomHubはALPHVのリブランドまたは元アフィリエイトで構成されたグループの可能性があり、後者の場合はALPHVに騙されたことがわかったために盗まれたデータをリークしたのではないかとの噂が広がりました。

チェンジ・ヘルスケアへの攻撃は、多くの人々のプライバシーを危険にさらしただけでなく、国家安全保障にも深刻なリスクをもたらしました。また、MFAのような基本的なサイバーセキュリティ対策が施されていなかったことは、医療部門の体系的な弱点を露呈する一方で、今後の攻撃が誘発される危険性を浮き彫りにしています。さらに、ユナイテッドヘルスが身代金を支払ったことは危険な前例となり、医療部門へのランサムウェア攻撃が助長される可能性も否定できなくなりました。

Synnovis

2024年6月3日、血液検査の管理を行う英国の医療機関Synnovisが、ゼロデイ脆弱性を悪用したランサムウェア攻撃に見舞われたことを公表しました。この攻撃ですべてのITシステムが影響を受けたほか、多くの病理学サービスが中断される事態となりました。NHSロンドンによると、具体的にはガイズ＆聖トーマス病院NHS財団トラストとキングスカレッジ病院NHS財団トラストでのサービス提供、およびロンドン市内南東部でのプライマリーケアサービスの提供に重大な影響を及ぼしたことが明らかになっています。医療施設と総合診療所（GP）で3,000件以上の予約や手術が延期となり、90万人の患者が影響を受けたことから、この攻撃の波及効果は甚大なものとなりました。

犯行声明を出したQilinランサムウェアグループはこの攻撃について、英国が密かに関与した戦争への意図的な報復行為だと述べました。Qilinは今年6月20日、この攻撃で盗まれたとされる約400GBのデータをリークサイトに投稿しました。これには患者の氏名、生年月日、NHS番号、血液検査の内容、従業員データを記載したスプレッドシートが含まれています。Qilinは5,000万ドルの身代金を要求しましたが、Synnovisはこれに応じませんでした。

Synnovisへのランサムウェア攻撃は、医療業務と患者のプライバシーの双方に深刻な影響を及ぼし、医療インフラがサイバー攻撃に対して脆弱であることを浮き彫りにしました。また、Qilinが地政学的緊張を理由に攻撃を行ったと主張していることから、サイバー攻撃は政治的な報復手段としてますます利用される傾向にあることが強調されています。Synnovisが身代金の支払いを断ったことは、要求に応じることで当面のダメージ抑制を優先するか、拒否することで今後起こり得るサイバー攻撃を抑止するかで組織が「倫理的なジレンマ」に陥ることを示しています。

アン アンド ロバート H. ルーリー小児病院

この米国の小児医療施設は2024年2月1日、ネットワークシステムの停止を余儀なくされたサイバーセキュリティインシデントについて対応を行っていることを公表しました。このインシデントにより、同病院のインターネット、Eメール、電話サービス、MyChatプラットフォームへのアクセスが影響を受けています。また病院側は先着順で患者のトリアージを行わなければならなかったため、予定されていた多くの医療処置が延期されることになりました。患者向けのシステムを再稼働できたのは、5月になってからのことでした。

Rhysidaランサムウェアは同病院をダークネットのリークサイトに追加し、自身が攻撃を行ったと主張しました。このグループは79万1,000人以上の患者に関する機微情報600GBを抜き取ったとされており、盗まれた情報には名前、住所、社会保障番号、保険会社に対する医療費の支払い申請、健康保険情報、病状、または診断内容などが含まれていました。Rhysidaは身代金が支払われない場合、自身が盗んだとするデータを60ビットコイン（約400万ドル）で売りに出すと宣言していましたが、同病院が支払いに応じないよう助言を受けていたため、その後に盗難データを売却したと主張しています。

ルーリー小児病院へのランサムウェア攻撃により、倫理的問題に関わる深刻な懸念が広がりました。あるいは、とりわけこの施設の性質を踏まえると、攻撃者がそうした倫理観を持ち合わせていない事実が改めて明らかになったとも言えるでしょう。また前述の通り、この病院では機微な医療データが侵害されただけでなく、重要な治療までもが妨害されました。そのような結果が想定できる以上、命に関わる病状の患者を多く抱えているかもしれない小児病院が攻撃対象になれば、インシデント対応時に道徳的ジレンマと直面することになるのは避けられません。

教訓 – ランサムウェアアクターが医療部門を狙う理由

ランサムウェア攻撃のターゲットとして、医療部門がこれほど頻繁に狙われるようになった要因はいくつかあります。例えば、これは資金不足が主な理由ですが、適切なセキュリティ対策やサイバーセキュリティに関する専門知識が不足していること、あるいはこの部門の組織が貴重な機密データを大量に保有していることなどが挙げられます。

医療プロバイダーはデジタルの医療サービスを提供すべく、ITやInternet of Things（IoT）をますます利用するようになっていますが、そのテクノロジーの多くはセキュリティを念頭に置いて設計されておらず、重大な脆弱性が放置されたままになっています。医療機器は現代医療に不可欠なものですが、保護あるいはアップデートすることが困難なセキュリティ上の弱点を抱えている場合がほとんどです。サポートが終了した旧式のIoTシステムなど、レガシーインフラの広大なネットワークを運用する医療施設は、この問題をさらに悪化させています。こういったシステムにパッチを適用することは困難な上、医療サービスは治療のため常に稼働させていなければならないため、重要なアップデートの適用に遅れが生じ、サイバー攻撃を実施する上で最適な条件が作り出されてしまいます。さらに悪いことに、欧州ネットワーク情報セキュリティ機関（ENISA）によると、2023年の時点でランサムウェア対策の専用プログラムを導入している医療機関はわずか23％でした。これは医療部門において、拡大するランサムウェア脅威に対する備えが広く不足していることを示しています。

医療部門がランサムウェア攻撃に対して脆弱である要因には、資金面での制約も大いに関係しています。多くの医療システムにおいて、ITインフラの全体的な見直しと安全確保のために必要な資金が不足しているのです。古いシステムをアップグレードしたり、高度なセキュリティ対策を実施したりするための十分なリソースがなければ、医療プロバイダーはサイバー脅威にさらされたままの状態となります。このようにサイバーセキュリティへの投資が不足していると、多くの医療機関が必要な防御策に十分な費用を捻出できないとわかっているランサムウェアグループにとって、脆弱性を悪用するハードルが低くなります。

医療記録や個人情報、そして支払いに関する詳細情報など、患者に関する膨大な機微データを保管していることも、医療部門の組織が頻繁に攻撃の対象となっている理由です。こういったデータはなりすましや保険詐欺、あるいはその他の悪質な行為に利用できるため、脅威アクターにとって非常に大きな価値があります。また情報の機密性が高いことから、医療プロバイダーはデータのリークを阻止するために身代金を支払う傾向が強く、ランサムウェアグループにとって魅力的なターゲットとなっています。実際、医療機関は身代金の要求に応じやすいばかりか、当初の要求額より高額な身代金を支払うことが多く、Sophosの報告によると、身代金要求に応じた医療機関の57％が当初の要求額以上を支払っていました。

このほかにランサムウェアアクターが医療部門を狙う理由として、医療従事者の過剰負担とサイバーセキュリティに関する専門知識の不足が挙げられます。医療従事者はすでに膨大な業務量や長時間労働、厳しいデッドラインに追われているため、サイバーセキュリティ関連のルールを日常業務に取り入れると、多くのスタッフが対応できないような複雑な作業をさらに増やすことになります。また、ほとんどの医療従事者にサイバー脅威を特定・緩和するための専門知識が不足していることから、フィッシングメールに添付された有害ファイルを開いたり、ソーシャルエンジニアリング攻撃に引っかかったりするなど、特にヒューマンエラーが起こりやすい部門となっています。スタッフにこれ以上の大きな負担を強いることなくリスクを軽減するには、新しいセキュリティ対策を簡素化し、既存のシステムにシームレスに統合しなければなりません。またスタッフが潜在的な脅威を認識し、回避するためには、サイバーセキュリティについて必要なトレーニングを提供することも不可欠です。簡単な対策としては、重要なシステムのバックアップを定期的にとることや、MFAと併用して強力なパスワードを使用することが挙げられます。医療部門に対するランサムウェア攻撃を防止することは一見難しく、時間のかかることのように思えますが、Silobreakerならこういった脅威の監視・検知の自動化を支援することが可能です。

弊社のプラットフォームを活用すれば、新たなランサムウェア脅威を特定し、一般に悪用されている脆弱性への対処を事前に行うことができます。Silobreakerは脅威や妨害行為に関する最新情報を常に提供し、医療プロバイダーが自組織のサイバーセキュリティ体制を強化して、医療サービスの継続性を確保するための力となります。

お客様をランサムウェア攻撃から守るためにSilobreakerがどう立ち向かっているのか、詳しくはこちらからお問い合わせください。 

ランサムウェアレポート無料配布中！

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 主なプレーヤーと被害組織
• データリークと被害者による身代金支払い
• ハクティビストからランサムウェアアクターへ
• 暗号化せずにデータを盗むアクターが増加
• 初期アクセス獲得に脆弱性を悪用する事例が増加
• 公に報告された情報、および被害者による情報開示のタイムライン
• ランサムウェアのリークサイト – ダークウェブ上での犯行声明
• 被害者による情報開示で使われる表現
• ランサムウェアに対する法的措置が世界中で増加
• サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
• 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

寄稿者

• Joel Francis, Intelligence Analyst at Silobreaker