フィッシング攻撃から患者データを守る方法

『HIPAA Journal (医療保険の携行性と責任に関する法律ジャーナル*米国発行誌)』によると、フィッシングは医療機関を狙った攻撃手段として使用頻度と効果の高さで上位にあがり、医療データの入手手段としてもよく利用されています。 医療のデジタル化が進む中、電子健康記録をはじめとする個人健康情報へのアクセス経路として、臨床医や事務職員を標的とするフィッシング攻撃が増えています。 攻撃を阻止できない場合、金銭的な損失に加え、診療の中断、医療記録の漏洩、医療法規違反を招く恐れがあります。

以下では、医療機関がフィッシング攻撃から患者データを保護する方法として、職員に対するフィッシング意識向上トレーニング、高度な認証方法の強制、信頼性の高いパスワードマネージャーの使用について説明します。

医療業界がフィッシング攻撃の標的となる理由

サイバー犯罪者はなぜ医療機関にフィッシング攻撃を頻繁に仕掛けるのでしょう。その理由は保有データの価値とハイペースの業務環境、各地に分散する多数の医療従事者にあります。 医療業界では大半の業界と違い、機密性の高い個人情報を扱い、重要な財務取引を処理し、人命がかかわるサービスを提供します。これら要素が重なることで、フィッシング攻撃に対して特に脆弱になっています。

価値ある患者データ

医療機関には、処方箋、医療記録、診断、保険情報、保険証番号など、大量の個人健康情報が保存されています。 サイバー犯罪者はこれらの情報を大半の個人識別情報 (PII) より重要視しています。クレジットカードを筆頭にPIIはすばやくキャンセル・再発行できるのに対し、 医療記録や保険証番号は簡単に再発行できず、長期的な悪用価値が高いためです。 盗まれた健康情報は、なりすましによる健康・医療保険の不正請求、保険金詐欺、偽造請求書詐欺に悪用される危険性があります。 医療データは多層的かつ永続的であるため、ダークウェブでは財務データより高額で取引されることが多く、病院や保険業者は魅力的な金づるとなっています。

ハイペースで動く臨床環境

医療現場で臨床医や職員は患者の緊急ニーズに対応しており、大きなプレッシャー下にあります。 特に、緊急治療室 (ER) や心臓内科系集中治療室 (CCU) での対応は一刻を争い、攻撃者はこの弱みを突きます。例えば、大至急対応が必要、重要なシステムの更新が必須、アカウントのアクセス権が失効間近といった切羽詰まった内容のフィッシングメールが届くと、 医療関係者はよく考えずに開封してすぐ対応しがちです。 多忙であるため、送信者のドメインを確認したり、不審なリンクの上にカーソルを重ねたり、一方的なアクセスや認証情報の要求の正当性を確認したりする時間がありません。 サイバー犯罪者はそうした事情を悪用して、大規模なフィッシング攻撃を企み、成功確率を高めようとします。

各地に分散する遠隔治療従事者

大規模病院では、数千人の医療従事者を雇用するだけでなく、第三者ベンダーを利用し、保険業者とも連携しています。その結果、相互に関連し合う広大なシステムが構築されています。 遠隔医療の普及が加速するにつれ、医療機関は電子健康記録や患者ポータルなどのプラットフォームの保護を徹底するために、安全なリモートアクセスを拡大する必要があります。 ユーザー、デバイス、接続が新たに増えるたびに、攻撃対象領域が拡大し、フィッシングリスクが高まるためです。

医療機関を狙ったフィッシング攻撃事例

サイバー犯罪者は医療機関にフィッシング攻撃を仕掛ける際に、実際の臨床過程と作業手順を踏まえてさまざまな戦術を用意します。 以下では、一般的なフィッシング攻撃事例を取りあげます。

医療機関がフィッシング攻撃を見抜く方法

医療業界におけるフィッシング攻撃の初歩的な防止策として、従業員研修、強力な認証、きめ細かなアクセス制御、明確なインシデント対応計画を挙げることができます。

フィッシング意識向上研修を実施する

職員はフィッシング攻撃の主要ターゲットであるため、防止策に関する定期研修が不可欠です。 臨床医、請求担当者、管理者、IT部門職員は、やり取りを行う前に不審なメールを見破る必要があります。 そのためには、なりすましメールのドメインを識別する、リンクをクリックする前にカーソルを合わせる、身に覚えのない添付ファイルは絶対にダウンロードしない、不審なメールは報告するといった対策を研修で学びます。 さらに、フィッシング攻撃の予行テストも定期的に実施して、職員のセキュリティ意識で改善が必要な領域を特定します。

多要素認証 (MFA) の利用を浸透させる

フィッシング攻撃の企みは成功するものもあります。そのため、多要素認証 (MFA) を可能な限り浸透させて、 盗んだ認証情報だけでは医療システムに不正アクセスできない体制を整える必要があります。 中でも、職員のメールアカウント、電子健康記録システム、遠隔医療プラットフォーム、すべての特権アカウントへの適用は不可欠です。 フィッシング攻撃に対する防御力は、使用する要素ごとに異なり、傍受や悪用されやすいSMS経由のコードより、ハードウェアセキュリティキー、パスキー、生体認証を使う多要素認証の方が効果的です。

最小権限アクセスとゼロトラストセキュリティを強制する

個人健康情報へのアクセス権を制限することで、アカウント侵害に伴う損害を抑制できます。 最小権限アクセス方式では、ユーザーに付与するアクセス権が業務遂行に必要なシステムやデータに制限されます。 例えば、請求データへの完全なアクセス権が看護師に、必要でないリソースへのアクセス権が外部ベンダーに付与されることはありません。ロールベースのアクセス制御 (RBAC) では、個人でなく役職に基づいて権限を割り当てることで、最小権限アクセスを実現します。 この方式を「ゼロトラスト」というセキュリティ原則と組み合わせると、すべてのアクセス要求が継続的に検証されるようになり、認証情報が侵害された場合でも、サイバー犯罪者によるネットワーク内での水平移動を阻止できます。

フィッシング防止フィルターでメールのセキュリティを強化する

高度なメールセキュリティソリューションを導入すると、医療従事者の受信トレイに届く前に多数のフィッシングメールをはじき出せます。 フィッシング防止用の最新フィルターシステムでは、AIベースの脅威検知、URLスキャン、ドメイン認証プロトコルを使用して、悪意の有無を判別するためにリンクや添付ファイルが分析されます。 ただし、高度なフィルターシステムを導入する場合でも、職員がクリックまたはダウンロードする前にリンクや添付ファイルの安全性を検証する必要があります。

実効力の高いインシデント対応計画を策定する

医療機関は、どんなに強力な予防策を講じている場合でも、フィッシング攻撃の成功に備える必要があります。 その鍵となるのが明確なインシデント対応計画であり、潜在的な損害を最小限に抑え、可能な限り早い段階でセキュリティインシデントを処理するのに役立ちます。 インシデント対応計画が効果を発揮するには、以下について定める必要があります。

• 不審なメールを報告するための明確な手順
• コンプライアンスチーム向けのルール
• 侵害されたネットワーク上のアカウントの隔離ステップ
• フォレンジック調査の手順

安全なパスワードマネージャーを購入する

職員が難易度の低いパスワードを使用するか、複数のシステムで同じパスワードを使い回す場合、ログイン情報が1度侵害されるだけで、多数の特権アカウントへのアクセス権がサイバー犯罪者の手に渡る危険性があります。 医療機関は、Keeper^®をはじめとする安全なパスワードマネージャーを導入することで多くのメリットが得られます。例えば、パスワードの使い回しがなくなり各アカウントに固有のパスワードが生成されます。また、認証情報は安全に保存され、チームメンバー間でアクセス権を安全に共有できます。 共有アクセスを必要とする環境では、安全なパスワード管理は必要不可欠な要素です。

Keeperで患者データを保護

フィッシング攻撃は、医療業界で患者の安全と規制遵守を直接リスクにさらします。 医療機関はサイバー犯罪者の先手を打つために、既存のセキュリティ施策の見直し、フィッシングテストの実行、フィッシングに強い多要素認証手段の適用、職員向けの意識向上研修といった対策を講じる必要があります。 Keeperなどの安全なパスワードマネージャーを使用して防御を強化すると、個人健康情報に加え、職員と患者も保護できます。

今すぐKeeperの無料トライアルを開始し、組織全体の患者データと機密性の高い臨床ワークフローを保護しましょう。