ランサムウェアは“波及”する――ハッカー医師が語る医療セキュリティの現実：CODE BLUE 2023レポート

医療業界を狙ったサイバー攻撃が日々報道で話題になる中、二人の“ハッカー医師”が「被害を受けなかった近隣の病院」への影響に着目して調査を実施した。どのような結果が得られたのだろうか。

[宮田健，ITmedia]

　近年、日本では医療機関を標的にしたランサムウェア攻撃が大々的に報道されているが、世界でも同様の被害は頻発している。これに対して医療機関はどのような対策を講じているのだろうか。

　ジェフリー・タリー氏とクリスチャン・ダメフ氏という二人の“ハッカー医師”が被害を受けた病院ではなく「被害を受けなかった近隣の病院」に着目し、重要インフラをどのように守っていくかを語った。

本稿は「CODE BLUE 2023」（2023年11月8〜9日）におけるジェフリー・タリー氏とクリスチャン・ダメフ氏の講演「ランサムウェアの反響: 大規模サイバー攻撃の影響範囲の解明」を編集部で再構成した。

コード・ブルー＝“緊急事態発生”　医療業界を襲うサイバー攻撃のリアル

　医師でありハッカーでもあるタリー氏は、冒頭に本イベント名である“CODE BLUE”に言及した。医療業界における“コード・ブルー”とは、患者に緊急事態が発生したことを知らせる用語だ。タリー氏は「私たちの全キャリアの中で、最も楽しいコード・ブルーになることに感謝する」と述べる。

　そもそも、なぜ二人の医師がセキュリティカンファレンスで話すことになったのだろうか。タリー氏とダメフ氏はともに医師になる前からハッカーとして育ったという。それが今、医療業界において意味を持ち始め、重要なキャリアとなった。タリー氏は1891年に英国の画家であるルーク・フィルズが描いた『The Doctor』という絵画を紹介した。

　この絵画の構図では一人の医師が患者を真剣に見つめているが、現代医療の形はこれとは全く状況が異なっている。現代の医療は患者の周りにさまざまな医療機器がつながり、呼吸器や投薬器が患者の命を救うために稼働している。これらの機器には無線LANがつながり、薬剤の投与量を厳密に操作するための複雑なソフトウェアが動いている。

　タリー氏はCODE BLUEの基調講演に登壇したリサーチャーであるミッコ・ヒッポネン氏の著書『インターネットの敵とは誰か？　サイバー犯罪の40年史と倫理なきウェブの未来』（双葉社）を引用し「これらの機器は非常にスマート。つまり脆弱（ぜいじゃく）性がある」と指摘した。

　同氏によると、医療機器の脆弱性はたびたび報道されており、脆弱性の残るペースメーカーへの攻撃は直接心臓にショックを与えることも可能だという。また、過去にはBluetoothを経由してインスリンポンプを操作した事例もある。

病院自体もサイバー攻撃の標的に

　狙われているのは医療機器だけではない。病院全体もランサムウェアの被害に遭っている。医療業界はこれに対する反応で2つの派閥に分かれる。「これは本当に大きな問題である」と考えるグループと、「脅威が誇張され人々を過度に怖がらせている」と考えるグループだ。

　タリー氏はこの問題を医師として、またハッカーとして正しく認識しようと努めてきた。「先人たちは最先端の治療法として血をヒルに吸わせたり、水銀を使ったりしてきた。2リットルの瀉血（※）が最前だと考える時代もあったが、医学はエビデンスに基づく医療革命を経験し、科学的方法によって真実を突き止めてきた」（同氏）

（※）瀉血：大量に患者の血液を抜く治療法。

　「しかし医療におけるサイバーセキュリティは、まだ瀉血の時代にあるのかもしれない。フレームワークを駆使したり、ベンダーの意見を聞いたり、サイバーセキュリティの専門家をフォローしたりするといった行為は、『エビデンスピラミッド』（※1）の中では最も下に位置している。このピラミッドを登るためにもより信頼できるエビデンスを収集し、厳格な分析を経てさらに証明力のある結論を導くプロセスを使って、科学的かつ客観的に判断する必要がある」（タリー氏）

（※1）エビデンスピラミッド：研究などでよく利用されるエビデンスの質を評価した概念。このピラミッドにおいて「専門家の意見」は最も低いエビデンスに位置する。エビデンスピラミッドは、上に行くほどより多くのデータが蓄積され、科学的プロセスが厳密になり、最終的に最も上に到達したときにはベストな治療方法が確信を持って実行できるようになるとされる。

ランサムウェアが“隣の病院”を襲うとどうなる？

　次にダメフ氏が登壇し、調査などから医療業界のセキュリティ実態を解説した。

　ダメフ氏ははじめに「セキュリティはチームスポーツのようなものであり、一人で決断できるものではないので他の人を説得することもある。ときにはステークホルダーに対して、予算や影響力を根拠にその判断が正しいことを理解してもらう必要がある。過去の攻撃に対して何をしたかを示せなければ、セキュリティ施策の有効性を評価できない」と語った。

　そこで、タリー氏とダメフ氏は手始めに、医療業界におけるランサムウェアの現状を把握するところから始めた。ランサムウェアは医療業界だけでなく、あらゆる業種や企業規模に対して大きな被害を与えている。まずは5年間のデータを集めた結果、新型コロナウイルス感染症によるパンデミックが発生したタイミング、つまり2020年頃に米国においてランサムウェア攻撃が一気に増えていると分かった。

　続いて二人は、医療従事者がどれだけテクノロジーに依存しているかを調べた。2013年に実施された調査によると、1日のうち28％の時間しか患者との会話に費やされておらず、ほぼ半分の時間はPCの前でデータ入力に費やしていたと判明した。

　テクノロジーに依存した状況において、病院がランサムウェア被害に遭うと電子カルテの閲覧などができなくなり、業務はストップしてしまう。そのため、本来はダウンタイムの発生を想定した上で手順書が用意されているべきだが、2018年の研究では全体の46％でダウンタイムの手順が守られていなかった、もしくは手順がなかったことが明らかになった。

　次に二人はランサムウェア被害に遭った病院が、どのような状況になるのかを調査した。二人が注目したのは、ランサムウェア被害に遭った病院の“周辺にある病院”にどのように影響が波及するかという点だ。

　これを測定するために、同氏らは2021年にサンディエゴの病院を襲ったランサムウェア事例を調査した。具体的には“被害に遭った病院に近いが、ランサムウェア攻撃を受けなかった病院”に起こる影響を「攻撃前後4週間」の期間で測定した。その結果、救急外来や重症患者、患者の待ち時間などが増加するといった大きな波及効果があったという。

　二人はこの結果をランサムウェア攻撃に遭った病院における直接的な影響を観測した初めての調査だとして『Ransomware Attack Associated With Disruptions at Adjacent Emergency Departments in the US』と題する論文にまとめた。

　ダメフ氏は「これは氷山の一角であり、脅迫を受けた病院とその隣の診療科の救急車の状況を把握したにすぎない。しかし、ここからサンディエゴにある他の病院の全体への影響を想像してみてほしい」と話した。

医療機関の調査から分かった2つの教訓

　ダメフ氏はこの調査を通じて、2つの教訓があると語る。

　1つ目は、「どのような根拠に基づいて意志決定を実行するか」だ。収集したデータを臨床的に分析し、科学的な方法を用いてサイバーセキュリティに対してより良い決断を下すことが重要になる。

　2つ目は「医療やその他の多くの業界が、いかに相互に関連しているかを知ること」だ。「全ての業界は同じ船に乗っている。私たちは“コネクテッド”であるため、最も弱いところを強化しなければ、全体を強化できない」とダメフ氏は述べた。

　タリー氏は最後に「私たちは医師でありセキュリティ研究者として、サンディエゴ大学内にヘルスケア・サイバーセキュリティセンターをつくった。ここを起点により良い意志決定の助けとなる質の高いエビデンスを生み出し続けたい。われわれの目標はランサムウェアをできる限り防ぐことで、病院側ですぐに脅威を特定できる仕組みも考えたい。ランサムウェア攻撃時に病院内の医療従事者たちがより良く活動できるよう、訓練の手助けができればと思う」と締めくくった。