Skip to content

サイバー攻撃にさらされているヘルスケア機関: トータルノックアウトを回避する方法

ヘルスケア分野が、医療セキュリティのワークフロー、アプリケーション、通信の隙間や抜け道を利用して、混乱させたり、盗み出したり、利益を得ようとする闇の勢力の攻撃を受けていることは周知の事実です。 しかし、世間を騒がせているフィッシングメールやサーバーのデータ流出に限らず、脅威は本当に警戒されているほど広範囲に蔓延しているのでしょうか? この記事では、多くの医療技術者が今日話題にし、取り組んでいる、やや新しく、驚くべき4つのヘルスケアセキュリティの脅威の状況について、納入事例と解決策を含めて掘り下げていきます。

最近行われた米国FDAのウェブキャストでは、患者リスクの問題を取り上げ、自分のインスリンポンプにサイバー脆弱性を発見した糖尿病患者のJay Radcliffe氏が、大手医療機器メーカーに患者へのリスクを警告しようとしたが、何の返事もなかったという説得力のある話をしました。 彼は、Blackhat会議中に会社を「公表」することを決めましたが、それは組織を傷つけたいからではありませんでした。 ただ、世界に注目してもらいたかったのです。 Jay氏は、ヘルスケアコミュニティーがもっと真剣にセキュリティに取り組み、患者に対するセーフガードが必要であると感じていました。

事実がJay氏を援護しているようだ。 ヘルスケア業界全体が攻撃を受けており、状況は日に日に悪化しています。

  • ちょうど先週、Krebs on Securityは、「ヨーロッパ最大の私立病院運営会社であり、COVID-19パンデミックにより需要が高まっている透析製品やサービスの主要プロバイダーであるFreseniusが、同社の技術システムに対するランサムウェアのサイバー攻撃を受けていました。」と報じました。 *
  • 米国のBecker's Hospital Review誌によると、「2020年にはこれまでに(米国で)28件のデータハック事件が報告されており、その中には電子メールのハッキング事件、マルウェアの攻撃、EHRへの不正アクセスなどが含まれている」とのことです。 **
  • これまでで最大規模のヘルスケアデータハックの調停において、Banner Health社は、370万人の被害者を対象としたハックにより発生した費用を補うため、890万ドルを支払うことに合意しました。 攻撃者は、支払い処理を行うマルウェアを使ってBanner Health社のサーバーにアクセスしました。 ***
  • 2020年4月、INTERPOLのCybercrime Threat Responseチームは、「新型コロナウイルス感染症対策に従事する主要な組織やインフラに対するランサムウェア攻撃の試みの数が大幅に増加していることを検知した」とする新たなプレスリリースを発表しました。 +

2020年5月、権威あるHIPAA Journalは、APT(Advanced Persistent Threat)グループが、患者の個人情報、知的財産、およびビジネスインテリジェンスを引き出すために、ヘルスケア提供者、大手製薬会社、および研究機関を標的にし続けていることを発表しました。 APTグループは、様々な攻撃手法を用いて、アプリケーションやネットワークをすり抜け、足場を固め、個人情報を盗み出しています。 一般的な2つの戦術: 脆弱性の悪用とパスワードの散布。 ++

ヘルスケア分野におけるサイバーセキュリティの脅威は、最終的に患者に関わる問題

セキュリティの脅威は、従来はITの問題と考えられていましたが、患者の安全にも関わる問題です。 腎臓用の家庭用透析モニターなどの接続された医療機器がハッキングされ、悪意のあるコードが注入された場合、患者の健康が危険にさらされる可能性があります。 医療システムのパスワードが漏洩して身代金を要求され、医師が重要な患者の記録にアクセスできなくなると、生死に関わることになります。

Dark Reading社は、「病院を標的としたランサムウェア攻撃やデータ流出は、事件の後数ヶ月から数年の間に、心臓病患者の死亡率を高める原因となる可能性がある 」と報告しました。 彼らは、Vanderbilt大学の研究者の報告書を引用し、ハックの修復時間が患者の治療や転帰を阻害すると指摘しています。 調査によると、データ流出後、患者が心電図を受け取るまでの時間が最大で2.7分増加し、このラグは3~4年経っても2分という高い数値のままでした。 研究者たちは、これらの発見が、情報流出後の3年間に30日急性心筋梗塞死亡率が0.36ポイントも上昇した理由となると考えました。 ^^

ヘルスケアITとそのエコシステムを守るセキュリティには、レガシーシステム、自社開発の手法、およびライセンス供与されたツールなど、さまざまなソリューションが複雑に絡み合っていることが多く、それらを組み合わせることで、組織と患者の両方を保護することができます。

医療関連のセキュリティ対策の管理は

容易ではない

なりふり構わぬ乱闘に例える人もいます。 ITチームは、人員や資金が不足していることが多く、また、優先順位が異なる方向に向かって分裂していることもあります。 コンプライアンス基準の遵守から、電子メールによるフィッシング攻撃の防止、モバイル医療アプリのセキュリティ確保、ネットワーク接続されたIoTデバイスのセキュリティ確保まであるのです。

医師などの医療従事者の中には、特に地方の医療現場や開発途上国では、クラウドの導入が遅れているという調査結果があります。 しかし、患者さんやヘルスケア提供者の方々は、クラウドを信頼しているだけでなく、クラウド型サービスの熱狂的なファンであり、定期的に利用しています。

リスク vs. 医療クラウドコンピューティングのメリット

貴重な医療関連データがクラウドに移行することで、重要なデータに簡単にアクセスできるようになり、患者の安全性が向上しましたが、その一方で、患者はより大きなリスクにさらされています。 例えば、ウェアラブルデバイスは、必要としている患者のために緊急医療支援のアラートを送信することができます。 医療機器メーカーの中には、臨床試験データの転送をリアルタイムに管理するクラウド型アプリを導入しているところもあります。 どちらも最先端で、人生を変えてしまうようなものであり、かつ脆弱なものです。 医療機器はネットワークの起点となります。 今日のセキュリティプロトコルやそれに組み込まれている機能は、必要とされるほどの回復力がないかもしれません。 第一世代のBluetoothや、さらに古い通信技術を使った古い機器があまりにも多く、世界中でまだまだ使われています。

ヘルスケア分野が直面しているサイバーセキュリティの課題は、現実的で手強く、かつ拡大しています。 これまでのセキュリティ境界線はもはや存在せず、代わりに強化が必要なAPI、保護が必要なワークフロー、より高度なレベルの認証が必要となります。

4つの高まるヘルスケア分野のサイバーセキュリティ脅威の状況:

この記事では、最初の2つのヘルスケアの脅威の表面化について説明します。 mHealthとpHealthです。 このブログの後編では、残りの2つをご紹介します。

mHealth: モバイル医療アプリの保護
厄介者から

モバイルヘルスの分野は爆発的に拡大しており、その勢いは衰えることがありません。 世界中でスマートフォンの利用率が過去最高になる中、既存のヘルスケア提供者、大手製薬会社、機器メーカー、新興企業は、アプリを活用して患者のケアを新たなレベルの効率性と利便性に高めています。

モバイル医療アプリの中には、規制対象の医療機器に接続される付属品もあります。 これらの生命を左右するmHealthアプリは、文字通り人々を生かしておくことができます。 他のアプリでは、人々をヘルスケアプラットフォームに接続し、患者のプライベートデータを保存・共有しています。 ヘルスケア分野で人気が高く、成長しているのは、腕時計に接続して生体情報をモニタリングするソリューションなどの消費者向けヘルステック・アプリで、主に新興企業が主導しています。

人気のあるmHealthアプリの例:

  • Epocrates – 医師はこのアプリを使って薬剤情報を調べたり、BMIを計算したりなど
  • Kareo – 医療従事者による遠隔医療、請求、および償還の管理を可能に
  • Glucose Buddy – 患者さん向けの総合的な糖尿病管理アプリ

しかし、ハイテクのベールに包まれた有用性の裏には、気になる統計があります。 Positive Technologies社が発表したレポートによると、Apple App StoreおよびGoogle Playストアを通じて世界中で公開されている700万以上のモバイルアプリケーションのうち、最大で75%がセキュリティ保護されていないとのことです。^^^ 驚くべきことに、フィットネストラッカー、医療機器モニター、およびヘルスケアネットワークなどのヘルスケア関連アプリが含まれています。

これらのアプリの多くは、名前、住所、健康状況、医療記録、画像スキャン、処方された薬、患者の財務情報などの健康情報(PHI)を保護します。 これらのデータはすべてハッキングされる可能性があります。 アプリが保護されていないと、悪意のあるコードがアプリに注入されたり、それらのアプリから情報が抽出されたりします。

人々が携帯電話やデバイスからアクセスする一般的な消費者向けヘルスケアアプリのセーフガードとして、追加のセキュリティレイヤーを設けることができます。また、血糖値計、インスリンポンプモニター、MRIシステムなどの入院システム、人工呼吸器や輸液ポンプなどの生理学的機器など、接続された医療機器を管理する専門的なアプリにもセキュリティ層は適用することができます。

これらの追加のセキュリティレベルがアプリケーションに付加されると、アプリケーションは強化され、ハッキングに強くなります。 シールドされたアプリは、改ざんやリバースエンジニアリングから保護され、アプリから機密データが削除されることもありません。 ノックアウトする組み合わせ。

アプリ保護の4つのセキュリティレイヤー :

  1. 難読化 – ハッカーが読みにくいようにコードをスクランブルする。
  2. 環境チェック – アプリが実行できる場所をコントロールすることで、攻撃者にとって動的な分析を難しくする。
  3. 改ざん検知 (aka binary integrity checks) – アプリのコードが修正されることなく開発者の意図通りに実行されることを保証することで、アプリのコードに信頼を築く。
  4. リアルタイムインサイト – 常にクラウドに接続して、マーケットに投入されたアプリに何が起こっているかをアプリオーナーに通知する。

mHealthの納入事例:
モバイルアプリセキュリティの記録的速さ

最近、弊社はシンガポールのモバイルアプリ開発者を支援しましたが、一見不可能な依頼を受けました。 また、市民にソーシャル・ディスタンス・ソリューションを提供したいと考えていた政府機関のために、1日以内にプロ級のセキュリティレイヤーを追加するお手伝いもしました。 そうです、弊社はできますと回答し、それを実現しました。 記録的な速さ(わずか5時間)で新型コロナウイルス感染症トラッキングアプリをシールドし、Google Playストアで公開することができました。

pHealth: ヘルスケアにおけるパスワードレス認証

パスワードは、医療機関のポータル、システム、およびアプリケーションへのアクセスを保護するための最も一般的な方法ですが、そのセキュリティは、人がパスワードを作成して使用しているだけです。

パスワードの代替品で解決しようとしている問題:

ユーザーの不満とコストのかかるサポートコールの原因となるパスワード

パスワードが問題を引き起こすことは周知の事実です。 パスワードが好きな人はいません。 多くのユーザーは、パスワードをすぐ忘れてしまうことに不満を感じています。 また、お客様がパスワードを紛失し、カスタマーサービスに電話してパスワードを回復する際、企業はカスタマーサポートのコストを余分に負担します。 例えば、ヘルスケアのサポート部門では、パスワードのリセットが頻繁に行われます。 Forrester Research社によると、平均的なヘルプデスクの人件費は、パスワードリセット1回につき約70ドルです。

共有され、使い回され、単純すぎることが多いパスワード

パスワードが共有されることがあり、それが問題になることがあります。 12345678のような単純なパスワードは簡単に推測できます。 パスワードの再使用は非常に一般的で、多くの攻撃の主な原因となっています。 そのため、ヘルスケア機関ではパスワードの監視が推奨されています。

ランサムウェアの標的となるパスワード

ヘルスケア機関では、データにアクセスするための認証情報を盗むことを目的としたランサムウェアの攻撃が多く見られます。 サイバーセキュリティ調査会社のCorvus社は、2019年第4四半期には、ヘルスケア機関に対するランサムウェア攻撃が2018年第4四半期と比較して350%増加したと推定しています。^*また、ランサムウェア攻撃の91%は、セキュリティ上の弱点を狙ったフィッシングです。 これらは、パスワードを止めるることで、かなりの程度回避することができます。

コンプライアンスの悪夢となるパスワード

ヘルスケア従事者は、しばしば最大のパスワードコンプライアンス違反者となります。 Healthcare Informatics Research誌に掲載されたHassidim氏らの研究によると、「73%が、職場のEHRにアクセスするために他のスタッフのパスワードを使用していると回答。 57%以上が、他人のパスワードを平均4.75回借りたことがあると回答。 さらに、全研修医の100%が、他の医療スタッフのパスワードを本人の同意を得て入手したと回答。 また、調査対象となった看護師の半数強が、他のスタッフのパスワードを使用したと回答。」 +++

パスワードは不便で煩雑なもの

情報セキュリティの専門家にとって、この記事は衝撃的かもしれませんが、ヘルスケア機関ではパスワードの共有が横行しています。 なせでしょうか。 理由はいくつかありますが、よく挙げられるのは、重篤な医療現場では時間が非常に重要であり、システムへのログアウトやログインが不便で、そのせいで患者さんから貴重な時間を奪ってしまうことです。 共有することは思いやりがあるとも言えますが、それで安全性が低下するわけではありません。 さらに、ヘルスケア提供者は、特定の医療プログラムで必要な機能を実行するために、自分のユーザーIDで十分なアクセスができないことがあると言います。

ヘルスケア機関を安全に保つためのパスワードの代替手段

HDO(ヘルスケア・デリバリー・オーガニゼーション)のセキュリティ管理者、システムインテグレーター、コンプライアンス担当者、およびビジネスリーダーは、可能な限り安全なアプリケーションを使用し、アカウント共有を排除し、HIPAAに準拠することでセキュリティを向上させたいと考えています。 ポリシーだけでは人間の行動は変わりません。 ヘルスケア機関の中には、多要素認証を導入するとともに、より迅速なアクセスを実現するために、近接した場所でのシングルサインオンや高周波IDバッジの導入などを行っているところもあります。 これは正しい方向への一歩だと思います。 しかし、さらにできることがあるのではないでしょうか。

Verimatrix(ベリマトリックス 社)のパスワードレス認証は、既存の認証システムを改善する方法として、パスワードの安全性を確保したり、パスワードを完全に置き換えたりしながら、安全にユーザーを認証する方法を提供します。 パスワードレス認証は、モバイルアプリ上での認証により、あらゆるデバイス上のサービスへのアクセスをよりスムーズに提供することができます。 パスワードレス認証はU2Fキーにも対応しており、認証と認可の両方に利用することができます。 弊社のソリューションは、既存のパスワードベースのシステムの認証を、モバイルアプリに基づくパスワードレスのオプションを追加することで補強します。

パスワードレス認証では、デジタル署名や生体認証などの複数の認証方式に対応しています。 これは、多くの有料テレビ事業者、通信事業者、トップクラスの銀行がすでに導入し、何年も使用しているソリューションであり、ヘルスケア関係者の多くもこの技術のメリットを評価しています。

パスワードレス認証の主な特徴:

  • 既存の認証システムやアプリに、モバイルアプリベースの認証を追加(コストのかかる代替は不要 )
  • 生体認証とPINベースの認証をモバイルアプリにシームレスに統合
  • ユーザー情報の保存は一切しない
  • 同一の統合APIで複数の認証・認可方式をサポート
  • サービスプロバイダが独自の展開戦略や納入事例を選択できる

Verimatrix(ベリマトリックス 社)のパスワードレス認証は、内蔵のPKI(パブリック・キー・インフラストラクチャ)を使用し、デジタル署名とトランザクション証明を提供します。

pHealthの納入事例:
帯域外認証

Verimatrix(ベリマトリックス 社)は、最近、ソーシャルメディアチャネルを通じて遠隔医療サービスを提供している企業から打診を受けました。 ユーザーを認証するための安全な方法が必要で、ソーシャルメディアのプラットフォームにはないものでした。

Verimatrix(ベリマトリックス 社)のパスワードレス認証は、この遠隔医療企業と長年取引のある信頼できるITインテグレーターが構築するソリューションスタックの重要なコンポーネントとして提案されました。 帯域外のユーザーを検証する仕組みを提供し、その検証を元のチャネルに結びつけることで、既存の認証方法を強化しました。

帯域外の認証は、通常、ユーザー認証プロセスにおいて、スマートフォンなどの追加のセキュリティエンティティが関与します。 例えば、ヘルスケア機関の患者さんがスマートフォンで検証コードを確認し、そのコードをアプリに入力する必要があるかもしれません。 この例では、スマートフォンが独自のクライアントアプリケーションを実行して、検証コードを収集します。 これは、帯域外認証の二次的な方法の一例です。 他にも様々な方法が考えられます。

複雑かつエレガントな認証方法

この遠隔医療企業に対して、Verimatrix(ベリマトリックス 社)は、上記の説明よりも少し複雑な帯域外認証プロセスを提案しました。これは、大手金融機関が支払いを安全に行うために一般的に使用している「強力な認証」技術を採用したソリューションです。 基本的にVerimatrix(ベリマトリックス 社)は、犯罪者が一般的な帯域外認証技術を回避しようとするのを難しくしました。 例えば、むきになったハッカーは、携帯端末通信事業者のアカウントで患者の電話番号を変更させ、患者の番号の代わりに自分の海賊版の電話番号を代用しようとするかもしれません。 この事例では、この技術の有効性は、電話による確認なしにアカウントを変更してはならないという厳格なポリシーを通信事業者が守るかどうかにかかっています。

Verimatrix(ベリマトリックス 社)は、可能な限り一流のセキュリティパートナーと協力して、最高レベルのセキュリティを導入し、誰もが誇りに思える方法でワークフローをセーフガードしたいと考えています。

mHealthおよびpHealthのセキュリティを振り返る

ヘルスケア業界は、2019年末から2020年の最初の数カ月にかけて、すでにハッカーの攻撃、ジャブ、フック、アッパーカットの連発に直面していました。 そして、コロナウイルスのパンデミックは、すべてを吹き飛ばしてしまいました。脅威の対象が拡大し、攻撃のペースが加速し、ヘルスケア機関とその患者の両方に対するリスクが増幅したのです。

ハックが避けられないことを考えると、行動を起こす時期は早まっていると言えるでしょう。 今や反撃は義務というより任務に近いのです。 ラウンド、そして試合に勝つことは、単なる可能性ではありません。

ヘルスケアITシステムインテグレーター、CTO、医療リスク・コンプライアンスの責任者の方は、Verimatrix(ベリマトリックス 社)のアプリケーションシールディングやパスワード認証などの強力な新ツールを医療セキュリティの武器に加えることを検討されてはいかがでしょうか。 デジタルコンテンツ、アプリケーション、およびデバイスを、直感的で人を中心としたフリクションレスセキュリティで保護する製品。

あなたのような方のためにつくったセキュリティです。

ご注意: この記事では、ヘルスケア業界でよく見られる2つの脅威の状況を取り上げました。 mHealthとpHealthです。 来月はtHealthとrHealthについてご紹介します。

 

出展:

^ インスリンポンプのハッカーがMedtronic社を非難
https://www.massdevice.com/insulin-pump-hacker-outs-medtronic/

*欧州最大の民間病院運営会社Fresenius社がランサムウェアの被害に

https://krebsonsecurity.com/2020/05/europes-largest-private-hospital-operator-fresenius-hit-by-ransomware/

** 2020年にこれまでに発生した28の医療機関のサイバー攻撃とデータ流出

https://www.beckershospitalreview.com/cybersecurity/28-health-system-cyberattacks-data-breaches-so-far-in-2020.html

***Banner Health社の和解案が承認され、データ流出問題に終止符が打たれる
https://portswigger.net/daily-swig/banner-health-settlement-approval-brings-years-long-data-breach-saga-to-a-close

+重要なヘルスケア機関をランサムウェアで狙うサイバー犯罪者たち
https://www.interpol.int/en/News-and-Events/News/2020/Cybercriminals-targeting-critical-healthcare-institutions-with-ransomware

++ CISAによる医療機関に対するAPTグループの継続的な攻撃に関する警告

https://www.hipaajournal.com/cisa-issues-fresh-alert-about-ongoing-apt-group-attacks-on-healthcare-organizations/

^^ 病院のサイバー攻撃と心臓発作による死亡率の増加との関連について
https://www.darkreading.com/threat-intelligence/hospital-cyberattacks-linked-to-increase-in-heart-attack-mortality/d/d-id/1336306

^^ 4分の3のモバイルアプリに個人情報を危険にさらす可能性のあるセキュリティ上の脆弱性
https://www.zdnet.com/article/three-quarters-of-mobile-apps-have-this-security-vulnerability-that-could-put-your-personal-data-at-risk/

^* Corvus社セキュリティレポート
https://tinyurl.com/y8vr7o5q

+++ 医療従事者の73%がEHRアクセスのパスワードを共有

https://healthitsecurity.com/news/73-percent-of-medical-professionals-share-passwords-for-ehr-access

Do you have questions about applications and content security?

Book a call with one of our experts

Want to keep up with Verimatrix news?

Sign up to the newsletter

Want to take a deep dive?

Connect with us

This site is registered on wpml.org as a development site.