Intel Securityで脅威予測レポートを作成する際、私個人は適切な調査を実施し、実際に確認したこと、今後6~12か月に増加すると思われる事象に基づく記述をしたいと思っています。
McAfee Labsの2016年の脅威予測レポートでは、ランサムウェアが増加するだろうと述べました。今年に入ってわずか6週間で、TeslaCryptとCryptoWall Version 4を拡散する大規模な攻撃が複数確認されました。また、サービスとしてのランサムウェア(ransomware-as-a-service)を利用し、簡単にランサムウェアを作成し、被害者による金銭の支払いを追跡する複数の新しいサイトも登場しています。
ランサムウェアは実際には攻撃を行わないという希望的観測もありましたが、残念なことに、そうはなりませんでした。また、特定の分野がランサムウェアを使用した標的型攻撃に悩まされるという予測もされました。
2月中旬、カリフォルニア州ハリウッドのある病院がランサムウェアの攻撃の影響を受けたことが確認されました。病院のネットワークが1週間以上にわたってダウンし、電子メールや患者のデータが失われました。通常、サイバー犯罪者がファイルの復元に要求する金額は200~500米ドルです。しかし、このケースでの要求額は360万米ドル(約4億1,000万円)で、ランサムウェアの攻撃が無秩序に行われている訳ではないことを示唆しています。他にも、ランサムウェアの被害を受けた医療機関が複数あることが報告されています。
病院では、異なる部署のコンピューターが相互接続され、患者、X線、CTスキャンといったデータを共有しています。これらのシステムが異なるネットワークやセキュリティゾーンに分割されていることはまれです。これらのシステムのデータがランサムウェアによって暗号化された瞬間から、チェーンの一部が利用できなくなるため、日常業務が中断されます。ランサムウェアだけでなく、ランダムなマルウェアの感染も多額の損害をもたらします。Intel SecurityのFoundstoneのインシデントレスポンスチームと一緒に作業をしていた私が思い浮かべたのは、世界中の病院でのマルウェア感染の事例です。私たちが直面した最大の課題は、古いバージョンの組み込みOSを実行していることが多い医療機器の復旧作業でした。ときには、コマンドラインツールとカスタム構成ファイルを使用して、これらのデバイスからマルウェアを駆除しなければなりませんでした。
すべての病院に、ネットワークの安全を確保し、ネットワークを監視する専任の情報セキュリティ担当者を雇用する予算がある訳ではありません。優先しなければならないのは、システムを24時間365日利用できるようにすることです。それには、ネットワークアーキテクチャーと機密データ(バックアップを含む)の保護に関するセキュリティの基本原則を徹底する必要があります。たとえば、古い組み込みOSを搭載した医療機器は絶対にインターネットに接続できないようにすべきです。これらは他とは別のネットワークゾーンに隔離し、病院の一部署専用とし、ゾーン間の接続を規定するアクセス規則に従って運用されなければなりません。
※本ページの内容は2016年2月15日更新のMcAfee Blogの抄訳です。
原文: Ransomware Targets Healthcare Sector
著者:Christiaan Beek (CTO)
