ヘルスケア業界のセキュリティ: コロナ禍で目立つランサムウェアによる侵害

医療業界における侵害を分析した結果、その多くはランサムウェアが根本原因でした。

現在も継続しているコロナウィルス COVID-19 のパンデミックによって、世界中の医療関連のインフラストラクチャは長期間にわたり、今までかつてない厳しい状況にあります。医療業界は今までも攻撃者にとって格好の標的でしたが、その魅力がさらに増す事態となっています。遠隔医療や COVID-19 の接触追跡アプリデータなどの大量のリモートサービスの導入、医療関連製造企業からの需要、治療法を突き止めるための医療研究施設間の競争などによって、悪意のある集団が標的にするアタックサーフェスが大幅に拡大されたのです。Tenable のセキュリティ対応チーム (SRT) は公開されている侵害事案のデータをが分析しましたが、その結果によると医療業界は 2020 年に 237 件の侵害を受けています。そして 2021 年も、2 月 28 日の時点で既に 56 件の侵害が公開されていることを考えると、攻撃は衰えることなく継続すると思われます。1 つはっきりと言えるのは、ランサムウェアの攻撃はしばらくの間はなくならないということです。

侵害によって医療業界は大打撃を受けた

Tenable SRT は、脅威と脆弱性インテリジェンスのフィードを監視することで、Tenable 製品のプラグインカバレッジを拡充しつつ優先順位付けするとともに、ユーザーに脆弱性に関連するリスクの情報を提供し続けています。詳しいコンテキスト情報を得るために、一般公開された侵害についても監視と追跡を行い、脆弱性がいつどのように要因となるのかを把握しています。Tenable の「脅威状況のまとめ (TLR) (2020 年) 」は、2020 年 1 月から 10 月までの間に発生した 730 件の一般公開された侵害によって合計 220 億件ものレコードが漏洩したことを明らかにし、さらに医療業界が最も影響を受けている業界であることを浮き彫りにしました。

コロナウィルスの世界的感染拡大の結果として、医療関連のインフラストラクチャが重要な役割を果たしていることを考えれば、この事実は驚くことでもないでしょう。

セキュリティ侵害は、脅威アクターにとって高利益のビジネスとして長い間利用されてきました。IBM の「情報漏洩時に発生するコストに関する調査 2020」によれば漏洩の平均コストは 386 万ドルにもなります。このような数字だけでも脅威アクターの動機付けになるのですが、特に医療業界の平均漏洩コストは 713 万ドルにもなり、個人を特定できる情報 (PII) には 1 件あたり 150 ドルの値札が付くので、結果として、医療業界が主要な標的になっています。

出典: IBM 情報漏洩時に発生するコストに関する調査 2020 年

TLR によって当初提供された分析は、TLR の発行期限の関係で対象期間が限定されていました。Tenable Research は、世界的な感染拡大が続く現在、医療業界が特に重要であることを考慮して分析の対象を拡張すべきと考え、2020 年の 12 か月間すべての一般公開された侵害を調査するとともに、2021 年の最初の 2 か月間の動向を詳しく確認してこのブログで発表することにしました。2020 年 1 月から 2021 年 2 月の間に一般公開された医療業界における 293 件の侵害を分析し、その結果、その約 93 % にレコードの漏洩が確認されました。侵害の正確な追跡が難しい理由の 1 つに、障害事例の発生時点から数日、数か月、あるいは数年後に侵害が一般公開される場合があり、公開されても利用可能な詳細情報が十分ではないことが挙げられます。分析の対象となった 14 か月間に発生した 293 件の侵害の中でレコードの漏洩が判明している障害事例のうち、侵害を受けた企業の 57.34% が漏洩したレコードの数を公表しています。この期間に漏洩したレコードの件数は合計で約 1.06 億件に上り、うち 76.45% は 2020 年に公開されたものでした。編集者注：本稿公開時には、以下の脅威の実際の障害事情がやっと明らかになりつつあります。CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065、悪用が確認されている Microsoft Exchange Server ゼロデイ 4 件。Tenable Research はこれらの状況を追跡しています。)

医療業界での侵害事案の根本原因分析

分析の対象となった 14 か月間に公開された医療業界の侵害の 93.17% では根本原因が報告されています。ランサムウェアが突出した根本原因であり、全体の 54.95% という非常に大きな割合を占めています。その他の原因には電子メールの侵害やフィッシング詐欺 (21.16%)、内部関係者による脅威 (7.17%)、データベース保護の不備 (3.75%)などが上位を占めています。被害者に対する直接行為、あるいは被害者自身の行動によるものではなく、サードバーティの侵害の結果被害が起きるケースもあります。具体的には、被害者が利用しているサードパーティのベンダーが侵害されると、保管されているデータがアクセスされて漏洩が発生します。また、ベンダーを悪用して被害者のシステムに直接アクセスするケースもあります。公開されている数字を基にした場合、確認された侵害のうちサードパーティの侵害が占める割合は 4 分の 1 を超え、漏洩したデータの 1,200 万件近くのレコードになることが当社の分析によって明らかになりました。そのうちの 1,000 万レコード余りは、ある 1 社で発生した侵害による漏洩でした。この侵害は、被害を受けた企業の 61 の医療関係の顧客に波及しており、漏洩した件数を公開する顧客が今後さらに増えると思われるため、漏洩したレコードの合計件数も増加するものと予想されます。

医療業界の一部は、他よりも大きな被害を受けている

「ヘルスケア」または「医療」という言葉は多くの場合、まるで 1 つの領域を示しているように用いられますが、実際には、この幅広い医療業界には大きく異なる種類の業種が含まれています。業界をさらに細かく可視化するために、下表に示す通り、データを 12 の主要なセクターに分割しました。確認した侵害の 30% 余りを占めたのは、医療システム (地域全体にある医療機関、人、さまざまなリソースの集合体などが典型) でした。医療システムには多くの敷地にまたがって広がる複数の施設が含まれるため、88 件の侵害が引き起こす影響は、単独の病院のような独立した施設で侵害が発生した場合よりも非常に大きな被害になります。

過去 14 か月間で最も多くの侵害を経験した医療セクターの上位 5 位は、以下のとおりです。

1. 医療システム (30.03% 侵害全体に占める割合)
2. 病院 (19.11%)
3. メンタルヘルスケア / リハビリテーション (6.14%)
4. 診療所/クリニック (5.12%)
5. 政府機関 (4.10%)

出典: Tenable Research による公開された侵害の分析、2020 年 1 月 - 2021 年 2 月

ランサムウェア - 医療業界で起きた侵害の根本原因

ランサムウェアは、確認された侵害の 54.95% を占めており、件数にして 161 件でした。そのうち 108 件は、攻撃主体としての犯人は不明のままです。その理由にはいくつかありますが、例を挙げると以下のとおりです。

• 犯人が特定されない
• 犯人が名乗りをあげない
• 被害者が詳細を公開しない
• 犯人がランサムウェアサイトで、被害者の一覧やデータを公開しない

医療業界においては、次のグラフで示されているように Ryuk が突出しており、侵害が公表されるたびに繰り返し現れ、ランサムウェア関連の侵害の 8.64% を占め、Maze (6.17)、Conti (3.7%)、REvil/Sodinokibi (3.09%) と続きます。

パンデミックの初期のある時期、医療業界にはかすかな希望がありました。Bleeping Computer が報告したように、一部のランサムウェア集団は医療業界に対する攻撃を停止すると宣言したのです。しかし、ランサムウェア集団は約束を破り、2020 年の年間を通じて継続的に侵害を行い、身代金の支払いを要求し続けました。

ランサムウェア集団によって悪用された、パッチの適用されていない脆弱性

確認した侵害の根本原因は、主にランサムウェアまたはフィッシングやメールによる侵害と発表されていますが、ほとんどの場合、企業の侵害に使用された手法は正確に公表されていません。ランサムウェア集団は、特定の攻撃ベクトルを好んで活用しようとする傾向が非常に強いため、各々の指紋とも言えるような典型的な手口があります。一部のグループは攻撃の最初の足掛かりを得るために脆弱性を悪用し、別のグループはフィッシングやメールによる侵害を利用ることが知られています。その後、マルウェアを投入したり脆弱性を悪用したりして、被害者のシステムのさらに上位のアクセス権を取得し、ランサムウェアを展開します。

医療業界に対するランサムウェア攻撃の最大の原因となっている Ryuk ランサムウェアは、Trend Micro によって報告されているように、Microsoft Server Message Block (SMB) に関連する脆弱性を含む複数の脆弱性を好んで利用することがわかっています。DFIR Report の研究者が行った分析によって、Ryuk の脅威アクターが (Conti と同様に) 最初のフィッシングメール送信後に CVE-2020-1472 を悪用して、それから 2 時間足らずで権限昇格を行い、ドメイン全体の制御を奪取した手段が実証されました。「Zerologon」とも呼ばれるこの脆弱性は、攻撃者が Windows ドメイン コントローラー (DC) を乗っ取ることができる Netlogon の脆弱性を標的としたもので、Tenable 2020 TLR で第 1 位として取り上げられており、非常に深刻であったために、Microsoft は 2021 年 2 月に 2 回目のパッチを展開して、強制モードをデフォルトで有効にしました。

最近の SC Magazine の記事では、Digital Shadows のサイバー脅威インテリジェンスアナリストである Jamie Hart 氏が、Conti ランサムウェアと、Conti がどのように医療施設を標的としているかに関する知見を提供しました。Hart 氏によると、Conti はまず被害者をフィッシングメールの標的とした後、ワーム可能な Microsoft SMBv3 のリモートコード実行 (RCE) の脆弱性である CVE-2020-0796 を悪用して、管理者アカウントに対するアクセス権を取得します。次によく知られたオープンソースのツールを使って被害者のネットワークを列挙して侵入していきます。Hart 氏は 1 つの見解を示したのですが、Coverware の研究者が強調したところによると、Conti ランサムウェアはリモートデスクトッププロトコル (RDP) を好んで使用するようです。Tenable 2020 TLR の調査で、RDP の使用が Windows OS に含まれているためリモートワークで多く使われるようになって昨年増加したことが明らかにされましたが、残念なことに、RDP には以前からプロトコルに関連する重大な脆弱性が存在していました。「BlueKeep」の異名をとる CVE-2019-0708 や、まとめて「DejaBlue」と名付けられた CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226 などです。

Maze は、2020 年 11 月 1日に活動を停止する前まで、上の表で明らかなようにいくつかの攻撃を仕掛けていました。Maze は攻撃ベクトルに RDP を好んで使用することが知られており、この点は Conti や他のランサムウェア集団とよく似ていますが、特定の CVE を標的としてきた歴史もあります。その中には、SHIELDX によって報告された Citrix Application Delivery Controller (ADC) および Gateway の脆弱性である CVE-2019-19781 や、Palo Alto Networks Unit 42 によって指摘された Pulse Connect Secure SSL VPN の脆弱性である CVE-2019-11510 があります。この 2 つの脆弱性は、2019 年に公開されたにも関わらず、脅威アクターがパッチの適用されていない脆弱性を標的とし続けているために、Tenable 2020 TLR の上位 5 位に入っています。

遠隔医療ソリューションによってアタックサーフェスが拡大する

ソーシャルディスタンシングがニューノーマルとなったのに加え、医師が対面で診察する患者を慎重に選択するようになったことで、診察のための遠隔医療の利用が急激に増加しました。患者データのセキュリティに耳を傾ける: 医療産業と沿革医療サイバーセキュリティのリスクは、Security Scorecard と DarkOwl の共同研究で、2019 年 9 月から 2020 年 4 月までの期間に最も利用の多かったベンダー 148 社を分析した報告書です。この調査によれば、この分野では侵害が 30% も増加しています。次の表は報告書から抜粋したデータです。

出典: 患者データのセキュリティに耳を傾ける: 医療産業と沿革医療サイバーセキュリティのリスク。Security Scorecard と DarkOwl の共同研究で、2019 年 9 月から 2020 年 4 月までの期間に最も利用の多かったベンダー 148 社を分析した報告書

遠隔医療でパッチ適用が実施されている傾向が 65% 向上したことはよいことですが、IP に脅威が発見された件数の増加や、不完全なセキュリティのプロトコル、脆弱性の悪用件数の増加などは警鐘を鳴らしています。Security Scorecard と DarkOwl の調査からは、2020年の感染拡大の初期に遠隔医療の悪用件数が増えていたことが明らかです。2020 年の後半から 2021 年にかけて、脅威アクターの標的に遠隔医療が含まれると仮定するのも、そのような根拠が背景にあるからです。

ワクチンの研究と生産がサイバー攻撃を誘発する

COVID-19 ワクチンの研究開発は脅威アクターにとって最大の標的を導入しました。対象となる研究機関は、米国サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) と連邦捜査局 (FBI) が感染拡大初期に公共サービス告知で警告しているように、高アラート態勢を敷く必要がありますこのようなワクチンの研究と生産を行う施設に対する攻撃はさらなる勧告の発令につながり、英国では、2020 年 7 月 16 日に国家サイバーセキュリティセンター (NCSC) が高度な持続型脅威に関する勧告を発行しました。この勧告では、APT29 が COVID-19 のワクチン開発を標的としており、先に述べた CVE-2019-19781 と CVE-2019-11510 だけでなく、FortiGate SSL VPN の脆弱性である CVE-2018-13379 も悪用することが判明している点を強調しています。ワクチン関連の施設は、ワクチンの生産や研究を停止させて被害者から身代金を搾取する機会、またはサイバースパイ行為を行ってデータを高額で販売する機会などの金銭取得の機会とみなされる限り、攻撃者の標的であり続けるでしょう。

医療業界に対する侵害後の経過予測

医療システム侵入の最初の足掛かりとしてメールによる侵害やフィッシングが使用される場合もあれば、脆弱性が悪用されるケースもありますが、どちらにせよ、脆弱性がシステム全体の侵害の根本原因となる可能性は非常に高くなっています。医療業界は、サイバーセキュリティに対して次の二股のアプローチを取る必要があります。

• 脆弱性に優先順位を付ける：攻撃の標的として悪用され、自社に影響を及ぼす可能性が最も高い脆弱性を特定して修正すること
• 根本原因に対処する：人的要因が影響する場合もありますが、侵害の大部分は標的となる脆弱性にパッチを適用することで、予防もしくは影響を最小限にできます。定期的な検査を通じて、ネットワークの健全性を保つこと

上述の通り、ランサムウェア集団に悪用されている脆弱性は、パッチが適用されていないからこそ標的となっているのです。同様の理由で、同じ脆弱性が国家の支援を受けるアクターの標的になっています。

2021 年の医療業界が、既に見出しを飾っている侵害の標的となり続けることは明らかです。これ以上の被害が発生する前に、リスクを無効化する対策を講じる必要があります。

もっと詳しく

• Tenable のTLR 「脅威状況のまとめ (2020)」のダウンロードはこちらから
• オンデマンドのウェビナー「Tenable Research 2020 年の要点と 2021 年のセキュリティを守るためのガイダンス」の視聴はこちらから
• Tenable Research のランディングページはこちら