┏━━━━━━━━━━━━━━━━━┓
◇ 医師ジョブマガジン 2022.11.18号 ◇
┗━━━━━━━━━━━━━━━━━┛
先生方はランサムウェア(身代金要求型ウイルス)に関してどこまでご存じでしょうか。
直近の10月末にはランサムウェアが起因となり、大阪の病院が診療機能を一時停止せざるをえなくなったのは、記憶に新しいかと思います。
ランサムウェアの手口としては、何らかの理由で感染したパソコンからシステムに入り込み、そこにあるデータを勝手に暗号化します。
そしてそのあと、「暗号化を解いてほしければ●●ドル払え」という脅迫が被害者に行われます。
さらに、多くは同時に「なお、●月●日までに支払いが確認できない場合、暗号化前のデータをWeb上に公開する」という脅迫も行われることがあります。
この脅迫は、黙殺することが主流です。
そもそもこの脅迫の言う通りに身代金を支払ったところで、本当にデータの暗号化が解かれるかも怪しいためです。
世界的にランサムウェアによる攻撃が広がり始めたのは2010年代半ばですが、この攻撃のペースが増したのはコロナ禍の最中である2020年からと言われています。
日本で攻撃が増えた原因は、皮肉にも在宅ワークの推進により遠隔でネットワークに接続することが増えた点にあります。
一方で医療機関が狙われる原因としては、電子カルテの広まりはもちろんのことながら、セキュリティ対策に使う予算が他の業種よりも低いことが一因だという見方もあります。
(ただしこれはハッカー集団の中にはヘルスケア・教育関係を狙わないと宣言するところもあり、一概に医療機関ばかりが狙われているという話でもありません。)
厚労省はこの件を「喫緊の課題」として位置づけて既にガイドラインなども出していますが、セキュリティ対策にはやはりお金が付き物です。
なお、四病協(四病院団体協議会)の試算によれば、100床未満の病院でもその対策にはおよそ800万円はかかるそうです。
その規模の病院が自力で対策するには厳しい金額ですし、体力的にシステムセキュリティ専門の人員を配置するのも難しいと言えます。
また違う見方をすると、意地悪な言い方かもしれませんが、幸運にも現在は医療機関の被害「だけで」済んでいます。
というのも、海外ではすでにペースメーカーなどの遠隔でデータを取得する目的等からネットワークに接続する医療機器(IoT医療機器)へのハッキング対策の研究なども行われています。
対策の研究が行われるということは、実際にハッキングできる状況ということです。
対策できなければ患者個人の情報──もっと言えば命そのものが狙われる可能性が今後さらに高まるということでもあります。
補足しておくと医療機器のサイバーセキュリティに関しては既に厚労省や経産省などからガイドラインが出ており、対策をまったくしていないということではありません。
(これは、ハッカーが「隙をつく」ことに対しては一枚上手というだけの話です。)
日本では今後、ランサムウェアの攻撃という世界的な課題を対策しつつ、DX化を進めていくことが求められます。
ハッカー集団とはイタチごっこになりますが、しっかりと今ある問題点を対策していくことが解決への糸口であることは言うまでもありません。
※このコラムは2022年11月に配信した記事です