深刻な事態を招いた事例も
今回の研究でNeprash氏らは、ヘルスケア業界におけるランサムウェア攻撃の発生を確認できるデータベースを作成した。このデータベースは、連邦政府の監督機関と民間のサイバーセキュリティ脅威インテリジェンス企業から収集した情報を組み合わせたものであるという。
全てのランサムウェア攻撃のうち、医療提供の妨害につながった攻撃の割合は44.4%に上り、その期間が1カ月以上に及んだ例もあった。ランサムウェア攻撃による被害は、検査や歯の治療の予約日の変更などで済んだ場合もあるが、深刻な事態を招いた場合もあった。2019年には、ランサムウェア攻撃を受けた米アラバマ州のスプリングヒル医療センターで1人の乳児が死亡した。乳児はサイバー攻撃の8日後に、同センターでへその緒が首に巻き付いた状態で生まれ、重度の脳障害が残った。そして、その9カ月後に死亡した。当時、同医療センターのコンピューターシステムがダウンしていたため、看護師たちが胎児の心拍の変化に気付かなかったという。乳児の母親は、もし変化に気付いていれば、医師が緊急帝王切開を指示していたはずだと裁判で主張。裁判でもそのような対応をとっていれば乳児を救命できた可能性があるとの見解が示されたが、同センターは不正を否定し、ランサムウェア攻撃を受けている間の診療継続は安全だったと結論付けた。
情報テクノロジー研究グループのポネモン研究所がまとめた2021年9月の報告書によると、米国のヘルスケア提供機関の約4分の1が、ランサムウェア攻撃が患者死亡の増加の原因になると回答。また、処置や検査の遅れによって予後不良になる(70%)、他の医療機関に転院あるいは移送する患者数が増加する(65%)、合併症が増加する(36%)といった回答もあった。
さらに、Neprash氏らのデータベースからは、ランサムウェア攻撃の58%が診療所を標的としていたことも明らかになった。次いで多かったのは病院を標的とした攻撃(22%)で、外来手術センター(15%)、精神医療施設(14%)、歯科医院(12%)が続いた。また、同氏は「ランサムウェア攻撃を評価する最も単純な方法は、個人の健康情報の流出件数を参考にすることだが、攻撃1回当たりの平均流出件数は2016年の約3万7,000件から2021年には約23万件へと大幅に増えていた」としている。
医療情報管理システム協会(HIMSS)のLee Kim氏は、実際にはNeprash氏らが今回報告した数よりも多くの医療機関を狙ったランサムウェア攻撃が行われている可能性が高いとの見解を示し、「考えられている以上に大きな問題であることは確実だと思う」と話す。その上で、医療機関のコンピューターシステムの安全性を向上させるための新たな法律を施行するとともに、医療機関をサイバー攻撃から守るために医療従事者に対する教育を強化する必要があると主張している。(HealthDay News 2023年1月4日)
https://consumer.healthday.com/hospital-security-2659033577.html
Copyright © 2022 HealthDay. All rights reserved.
