「ランサムウェア」とは、「Ransom（身代金）」と「Software」を組み合わせた造語です。何らかの形でシステムがウイルス等に感染し、データファイルが暗号化され、利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに身代金を要求する「マルウェア」を指します。
ちなみに、マルウェアとは、「Malicious（悪意のある）」と「Software」を組み合わせた造語で、ウイルスやワーム、トロイの木馬、スパイウェアなど、ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを総称した言葉となります。

さて、これらマルウェアはどのようにして、システムに侵入するのでしょうか。マルウェアの感染経路は、①メールの添付ファイルを開いて②ネットワーク経由で侵入③不正サイトや悪意のあるサイトへのアクセス④不正なソフトウェアやアプリのインストール⑤ソフトウェアの脆弱性を突いて侵入、の5つに分類されます。

また、ひとたびシステムがマルウェアに感染すると、様々な感染被害が発生します。例えば、個人情報を抜き取られ情報が流出したりするという被害が有名ですが、先に上げたランサムウェアでは、ファイルが暗号化され勝手にロックされて操作が不能となり、その解除と引き換えに身代金が要求されました。それ以外にも、ファイルが書き換えられる（改ざん）ケースや、デバイスが乗っ取られ、サイバー攻撃の「踏み台」として使われたりするケースがあります。

日本の医療界でも、多くのサイバー攻撃の被害が報告されています。例えば、2021年10月末に起きた徳島県の病院の電子カルテに対するランサムウェアによる感染被害が有名です。ランサムウェアに感染後、電子カルテのデータファイルが暗号化され利用できなくなりました。侵入経路は、電子カルテを始めとした医療機器のメンテンナンスを行う際に接続する「VPNシステム」と想定されています。システムの完全復旧には約2カ月間を費やし、その間、患者の来院制限が行われ、医療機関経営に大きな打撃をもたらしたことになります。この事件をきっかけに、改めて医療界におけるセキュリティ対策やBCP（事業継続計画）の重要性が見直されています。

このような状況を受けて、2022年3月に「サイバーセキュリティ対策の強化について（注意喚起）」という通知を経産省、厚労省などが連名で発出しています。通知では、「昨今の情勢を踏まえるとサイバー攻撃事案のリスクは高まっていると考えられます。政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、対策を講じること」を求めています。サイバーセキュリティ対策については以下のようにまとめられています。

１．リスク低減のための措置
・パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を  強化する。
・IoT 機器を含む情報資産の保有状況を把握する。特にVPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ（最新のファームウェアや更新プログラム等）を迅速に適用する。
・メールの添付ファイルを不用意に開かない、URLを不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。

２．インシデントの早期検知
・サーバ等における各種ログを確認する。
・通信の監視・分析やアクセスコントロールを再点検する。

３．インシデント発生時の適切な対処・回復
・データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。
・インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。

また、厚労省は増加するサイバー攻撃に対抗するために、「医療情報システムの安全管理に関するガイドライン（5.2版）」を2022年3月末に改版しています。改版の目的は、「医療等分野及び医療情報システムに対するサイバー攻撃が一層、多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じる被害も見られる。特にランサムウェアに代表される攻撃への対策は、喫緊の課題となっている」としています。
具体的には、6.10章において、「災害、サイバー攻撃等の非常時の対応」として、「C.最低限のガイドライン」を以下のように定めています。

①医療サービスを提供し続けるためのBCP の一環として、「非常時」と判断するための基準、手順、判断者等及び正常復帰時の手順をあらかじめ定めておくこと。
②非常時における対応に関する教育及び訓練を従業者に対して行うこと。なお、医療情報システムの障害時の対応についても同様に行うこと。
③正常復帰後に、代替手段で運用した間のデータ整合性を図るための規約を用意すること。

このように、ガイドラインでは、医療機関はサイバー攻撃を想定したBCPを策定し、それに基づき教育・訓練を実施し、正常復帰のためのバックアップ体制を用意することが求められているのです。

また、厚労省が2022年5月27日に出した「令和４年度の医療法第25条第1項の規定に基づく立入検査の実施について」の通知においても、サイバー攻撃対策に関して検査を行うことが示されています。

＜令和４年度の医療法第25条第1項の規定に基づく立入検査の実施について（抜粋）＞
カ．医療機関におけるサイバー攻撃への対策について、医療機関の情報システムがランサムウェアに感染すると、保有する情報資産（データ等）が暗号化され、電子カルテシステムが利用できずに診療に支障が生じたり、患者の個人情報が窃取されたりする等の甚大な被害をもたらす可能性があることから、医療機関においてサイバーセキュリティ対策の強化を図るため、以下に掲げる事項について確認を行う。

① PC やVPN 機器等の脆弱性情報を収集し、速やかに対策を行える体制が確保されていること
②診療継続のために直ちに必要な情報をあらかじめ十分に検討し、データやシステムのバックアップを確実に行っていること
③不正ソフトウェア対策を講じつつ復旧するための手順をあらかじめ検討し、BCPとして定めておくとともに、サイバー攻撃を想定した対処手順が適切に機能することを訓練等により確認すること
④医療情報システムの保守会社等への連絡体制（サイバー攻撃を受けた疑いがある場合）や厚生労働省への連絡体制（当該サイバー攻撃により医療情報システムに障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合）が確保されていること

「ランサムウェア」などサイバー攻撃は、近年増加傾向にあり、多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じる被害が報告されています。サイバー攻撃に合わないためのセキュリティ対策については、通知やガイドラインを参考に、病院内の体制を見直す必要があります。

また、感染対策も大切ですが、感染後にすぐにシステムの復旧を図るためには、医療機関はBCPを策定し、日ごろからスタッフの教育・訓練を行い、準備を怠らないことが重要です。過去の事例が示すように、サイバー攻撃は人がもたらしているものであり、対応も人が行うものです。サイバーセキュリティについて、スタッフ全員が理解し、対応できる体制づくり、教育こそが重要であると考えます。

著者・監修：MICTコンサルティング株式会社
発行元：富士通Japan株式会社
本稿の内容に関する一切の責任はMICTコンサルティング株式会社（https://mictconsulting.com/）に帰属します。また、本稿掲載のいかなる部分も一切の権利はMICTコンサルティング株式会社に帰属しています。