2021年に、医療機関は何件のランサムウェア攻撃を被ったでしょうか？医療機関を対象とした最近の調査によれば、回答者の34％が2021年にランサムウェアの攻撃を受けたと回答しています。この数字は、全業種を合わせた世界平均の37％よりも下回る結果となっています。また、この数字は、回答者の44%が攻撃を受けたと答えた小売および教育分野の結果を下回っています。

しかし、この調査結果は、医療機関が将来について楽観的になっていると主張するものではありません。2021年にランサムウェア攻撃を受けなかった半数近く（41%）が、将来自分たちがランサムウェア攻撃の被害を受ける可能性を十分に想定していると回答しています。将来の攻撃に対してシステムが安全であると確信していたのは、これらの回答者のうち4分の1に過ぎませんでした。

医療分野が狙われる理由

COVID-19のパンデミックは、攻撃者が医療機関に対する攻撃を強化する動機となりました。Wall Street Journal（WSJ）紙が指摘するように、これは、病院は患者を治療するのに手いっぱいであるため、身代金の額を下げる交渉などできないだろうという理屈に基づいた行動です。

悪意あるアクターはこのことを理解しています。そのため、一部のランサムウェア集団は、パンデミックの発生以来、医療業界の被害者のネットワーク上で、より迅速にペイロードを展開するようになっています。彼らは、最小限の労力で、より大きな報酬を得たいと考えているのです。

同時に、デジタル攻撃者は、医療機関にとってセキュリティ対策や保護が必ずしも優先されるものではないことを理解しています。Enterprise.nxtによると、医療機関の多くは、二要素認証、マルウェア対策、ネットワークスキャンなどのセキュリティ対策を今もなお実装していないと言われています。また、これらの医療機関の多くは、フィッシング攻撃やその他のデジタル脅威に対する従業員の知識を深めるための、セキュリティ関連の啓発研修も実施していません。

ランサムウェアは医療機関にどのような影響を与えるか？

2021年の調査で、Ponemon Instituteは、ランサムウェア攻撃により、医療提供組織（HDO）が患者にタイムリーにケアを提供する能力が制限されたと伝えました。本調査の参加者10人のうち7人が、ランサムウェアに感染した結果、患者の入院期間が長くなったと指摘しています。
また、それよりもやや少ない数の参加者（65％）が、ランサムウェア攻撃が原因で、より多くの患者を他の医療施設に転移または移送しなければならない状況に陥ったと回答しました。

一部には、さらに深刻な事態に陥っているケースも見られました。たとえば、71％の回答者が、ランサムウェア攻撃により医療処置や検査に遅れが生じたと回答しています。また、回答者の36％が、医療処置による合併症が増加したと答えています。さらに、5人に1人は、患者の死亡率の上昇が見られたと回答しています。

医療業界が直面している主な課題とは？

まず、医療機関が従来型のランサムウェア攻撃に直面することは、今やほとんどありません。攻撃者が「Spray and Pray（下手な鉄砲も数撃ちゃ当たる）」式の手法を使って被害者を騙し、悪意あるリンクをクリックさせるか、仕組んだ文書を開かせることで、少額の身代金を手に入れていたようなコモディティ型のランサムウェア攻撃の時代は、もはや遠い昔の話なのです。

企業や組織は現在、RansomOpsと呼ばれるものに直面しています。これは、高度に的を絞った複雑な攻撃であり、APT作戦に近いものです。このようなキャンペーンにおいて、攻撃者は、ランサムウェアのペイロードを起動する前に、できるだけ多くのネットワークにアクセスすることで、最大の効果を上げ、数百万ドルの身代金を要求すること企んでいます。

第二に、医療機関は情報漏洩に悩まされています。SecurityScorecardの指摘によれば、この分野の組織は他のどの分野よりも多くのデータ漏洩に苦しんでおり、この業界の組織は2020年全体を通じて毎月280万件ものデータ漏洩を経験してきたとのことです。
医療機関は、患者の社会保障番号や個人を特定できる情報（PII）を保護するために必要な新しいセキュリティ制御方法に対応するためのリソースを確保できないのです。

最後に、クラウド脅威の問題があります。SecurityScorecardの指摘によれば、多くの医療機関がデータ検索のニーズを満たすために、クラウドベースのデータストレージを利用しているとのことです。しかし、こうしたクラウドベースのソリューションの多くはHIPAAに準拠していないため、医療システムが攻撃者にとって格好の標的になっているという問題があります。

医療機関はランサムウェアにいかに対処できるか

まず、医療機関は、攻撃を受けることを想定しておく必要があります。ランサムウェアは、依然として広く蔓延しています。いかなる分野、国、組織規模であっても、このリスクを免れることはできません。攻撃が成功した後に防御を強化するプロセスを開始するよりも、準備を整えた上でランサムウェア攻撃を受けることがないようにする方が賢明です。

ランサムウェア攻撃が検知され、初期対応が決まったら、防御者は自分がより大きなRansomOpを阻止しているのか、それとも攻撃の一面のみを阻止しているのかを理解する必要があります。エンドポイント上のランサムウェアをブロックすることは可能ですが、それにより、悪意あるアクターが後続の攻撃を行うためにネットワークアクセスを維持することを阻止できない場合もあります。

ここで、Extended Detection and Response（XDR）ソリューションの出番です。このソリューションは、防御者にとってゲームチェンジャーとなり得えるものです。AI駆動型のXDRソリューションを使うと、複数のネットワーク資産からのテレメトリーを迅速に収集し相互に関連付けることで、影響を受けるすべてのデバイス、システム、アプリケーション、ユーザーにおいて、当該攻撃シーケンス全体を根本原因から明らかにできるようになります。

XDRを使うと、防御者は対応作業を攻撃タイムラインの左側に移動させることができます。また、振る舞いの痕跡（IOB）を活用することで、悪意あるオペレーションを事前に阻止する機会を得ることができます。IOBとは、攻撃の早期発見と迅速な修正を可能にする一連の振る舞いであり、AI駆動型のXDRソリューションがもたらす主なメリットの1つです。

サイバーリーズンは、ランサムウェアとの戦いにおいて無敗を誇る唯一のセキュリティプロバイダーであり、DarkSide、REvil、LockBitなどのランサムウェア攻撃から多くの企業や組織を守ってきた実績があります。

サイバーリーズンは、エンドポイント、企業全体、そしてサイバー攻撃が行われているあらゆる場所で同攻撃を阻止するために、防御者と一丸となって尽力しています。

【ホワイトペーパー】ランサムウェア対策ガイド～二重脅迫型など進化するランサムウェアから情報資産を守るために～

近年、世界中で深刻な問題となっているランサムウェア。

このガイドは、日本における深刻な問題やランサムウェアの歴史を踏まえ、最新のランサムウェア攻撃にはどのような特徴や脅威があるのかについて解説するとともに、巧妙化するランサムウェアに対し私たちはどのような対策を講じれば良いのか。最新のランサムウェア攻撃への5つの対策ポイントをご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/6525/