国内の医療機関でメールを介した不正アクセスやサイバー攻撃を受けるリスクが急速に高まっている。背景には、医療機関でもインターネット経由でのクラウド活用が進む半面、経営層や医療従事者の情報セキュリティーに対する意識やリテラシーが十分に高まっていないことがある。サイバー攻撃による被害が医療体制の逼迫に拍車をかけかねない。
パスワード認証のみで不正アクセスに
実際に攻撃に遭った一例が愛知県がんセンターだ。同センターは2021年9月8日、同年7月に不正アクセスに遭い、患者の病状などの要配慮個人情報を含む、延べ183人の患者情報が流出した可能性があると公表した。何者かが、職員が使う米Microsoft(マイクロソフト)のクラウドサービス「Microsoft 365(旧:Office 365)」に不正アクセスした。医師1人のアカウントのパスワードを盗み、メールを閲覧。このメールの中に患者情報があった。
同センターは数年前から職員向けにMicrosoft 365のアカウントを発行し、メールや共有ドライブなどを利用できるようにしている。2021年7月13日、情報システム部門である医療情報管理部宛てに、医師Aから「送受信したはずのメールが見当たらないなどメールの調子がおかしい」と申し出があった。同15日、ネットワーク委託業者の調査により、海外7カ国から医師Aのアカウントに2021年5月31日から7月14日まで不正アクセスがあったと分かった。
不正に閲覧された可能性がある送受信メールには、パスワードがかかっていないファイルも添付されており、そこには延べ183人の患者情報が含まれていた。具体的には、「患者ID」「氏名」「性別」「生年月日」「転帰(生存または死亡)」「病状」などである。患者情報が含まれるメールの送受信は「ほとんどが院内関係者とのやりとり」(同センター担当者)という。
愛知県がんセンターらが医師Aのパソコンを調査した結果、ウイルスなどの不正プログラムやフィッシングサイトへのアクセス記録は見つからず、パスワードが盗まれた原因は不明としている。ただ当時、同センターのルールでは、Microsoft 365のログインは2要素認証などを必要とせず、IDとパスワードだけでログインできる運用だった。
また同センターの個人情報保護ルールでは、患者情報をメールなどでやりとりする際はファイルにパスワードをかけることになっていた。だが、医師Aはパスワードをかけていなかった。組織と人に脆弱性があったといえる。
同センターは今後の対策として、Microsoft 365へのログインに多要素認証を導入した。職員の個人情報の扱いを徹底するほか、今後は個人情報保護や情報セキュリティーの外部専門家の協力を得て抜本的な対策を検討するとしている。
攻撃件数が2年間で12倍に急増
「サイバー攻撃の入り口として最もリスクが高いのがメールだ。攻撃元をたどるとロシア経由や中国経由が多い」。新型コロナウイルス感染症などの感染症治療などで日本医療界をリードする国立国際医療研究センター(NCGM)で、医療情報基盤センターのセンター長を務める美代賢吾氏は、NCGMに対するサイバー攻撃の分析結果をこう明かす。
NCGMへのサイバー攻撃全体の件数は、2019年は月平均10万件程度だったのに対し、2021年に入ってから毎月約100万件で推移、2021年9月には約120万件まで増えた。2年で12倍に急増した計算だ。
