ナビゲーションをスキップする
BlackBerry ブログ
  1. BlackBerry ThreatVector Blog
  2. 2024
  3. 12 Days Without Revenue: Ransomware Fallout Continues in Healthcare Sector

無収益の 12 日間:医療分野でのランサムウェアの被害相次ぐ

セキュリティ / 05.10.24 / Baldeep Dogra, Bruce Sussman

原文のブログはこちらからご覧いただけます。

2024 年 3 月 13 日 更新:医療業界に対するランサムウェア攻撃の報告数は、過去 5 年間で 264% 増加。これは、医療分野のサイバー攻撃に関する報告を担当する米国政府機関から提供された最新データです。同機関は、本稿で取り上げているランサムウェア攻撃について現在調査中であることも発表しています。詳細は以下をご覧ください。


米国病院協会(AHA)によると、病院や薬局に混乱を招いている近年のランサムウェア攻撃は、医療業界において「未曾有の事態」です。AHA の会長兼 CEO である Richard Pollack 氏は、米国保健福祉長官の Xavier Becerra 氏に宛てた書簡の中でその理由を次のように説明しています
 
「Change Healthcare 社によれば、同社が処理する医療トランザクションの数は年間 150 億件に上り、患者記録の 3 件に 1 件に達している。これらのトランザクションには、臨床における意思決定のサポートや資格確認、薬局業務など、患者ケアに直接影響を及ぼす幅広いサービスが含まれるが、そのすべてがここ数日間中断している状態だ」

同氏はまた、病院や診療所では同社を通じた支払い申請が行えず、「臨床医や他の医療関係者への給与支払いのほか、必要な医薬品や医療用品の調達、不可欠な委託業務に対する支払いができないケースも考えられる」との懸念も示しています。

さらに米国医師会(AMA)によると、影響を受けた医療活動については、収益が得られない状態が 12 日間も続いているとのことです。

患者もまたサイバー攻撃の影響を免れておらず、特に処方箋が必要な場面で問題となっています。たとえば、医薬品の提供を拒否されたり、高額な薬について控除なしで全額負担を求められたりするケースなどが報告されています

これはランサムウェアグループが金銭を目的として医療分野を狙うケースが増加していることを示す最近の事例に過ぎず、こうした問題はますます深刻化しています。BlackBerry の最新版「グローバル脅威インテリジェンスレポート」からも、脅威アクターが他のいずれの業界を狙う場合にも増して、独自または「新型」のマルウェアを使い医療業界を標的としていることがわかります。

医療分野でのランサムウェア攻撃:これまでに判明していること

この攻撃が診療所や病院、薬局や患者に影響を及ぼしていることは前述のとおりですが、誰が仕掛けたかについても報告されています。UnitedHealth Group の発表は、この攻撃の黒幕がロシアを拠点とする脅威アクター「ALPHV/BlackCat」である可能性が高いことを裏付けています。直近では、TechCrunch が「ALPHV が犯行声明の投稿を削除したが、これは被害者がハッカーらと交渉中であることを示している場合もある」と報じたほか、Wired が「このランサムウェアグループは 2,200 万ドルの支払いを受けたばかりだが、そのお金を支払った被害組織は明らかになっていない」と伝えています。

興味深いのは、同ランサムウェアグループのインフラストラクチャが停止したことです。これについて同グループが「連邦捜査局のせいにした」との報道もありますが、グループの首謀者らが意図的にオフラインにした可能性も否めません。一部の専門家は、脅威グループの運営者が下位の関連グループに利益を分配せずに独り占めしていて、内輪もめや資金の持ち逃げなどが起こっていると考えています。また、法の執行を逃れるために名前を変えて活動を再開する可能性を指摘する意見も見られます。

この医療分野における最新の攻撃の侵入経路は依然として不明ですが、BlackBerry の脅威リサーチ&インテリジェンスチームは、BlackCat ランサムウェアの機能について詳細に解説しています。それによると、このツールはALPHV によるハッキングキャンペーンの最終段階の一部であると思われ、被害者からできるだけ多くの金銭を引き出すことを目的にしています。このツールのリリースにより、同ハッキンググループは身代金を目的としてファイルの持ち出しと暗号化の両方を行うというマルウェアのトレンドに乗り、「二重脅迫」と呼ばれる攻撃を行うようになりました。そればかりか、他の脅威アクターがその Ransomware-as-a-Service(RaaS)製品をサブスクライブできるようにしたのです。この脅威アクターグループの被害者は世界中に広がっています。

ランサムウェア攻撃への調査を開始

現在、米国保健福祉省の公民権局(OCR)がこの医療分野へのランサムウェア攻撃に対して調査を進めています。OCR は、HIPAA プライバシー、セキュリティ、違反通知規則を HIPAA の対象となる主体に対して適用しています。新たな調査に関する 3 月 13 日の発表では、医療分野における脅威状況の深刻さを示す次のような最新データも明らかになりました。

「ランサムウェアとハッキングは、医療分野におけるサイバー脅威の主たるものだ。過去 5 年間で、OCR に報告されたハッキングを伴う大規模な侵害は 256% 増、ランサムウェアは 264% 増となっている。2023 年に報告された大規模な侵害は 1 億 3,400 万人に影響を及ぼし、2022 年から 141% 増となった」

この数字は、医療分野の関係者がサイバーセキュリティに優先的かつ緊急に対処する必要があることを浮き彫りにしています。

ALPHV/BlackCat などのランサムウェア攻撃を AI が阻止

BlackBerry は、ユーザーの環境内で Cylance® AI が BlackCat を未然に阻止できることを実証しました(動画)。また、最近のポッドキャストのエピソードでは、BlackBerry のプロダクトエンジニアリングおよびデータサイエンス担当上級副社長である Shil Sircar が、ゼロデイ脅威による攻撃であっても、当社独自の予測モデリングで悪意あるものと無害なものを区別する仕組みについて説明しています。

「予測モデリングは、マルウェアを阻止するため最も重要なものの 1 つです。当社では、実際に大きな被害をもたらす一連の行動をモデル化しています。行動の順序、すなわちシークエンスを変えた場合に、モデルがどれだけ正確に予測できるかを見ています 」

Sircar はこう続けます。「サイバーセキュリティの興味深いところは、マルウェアによる悪意ある振る舞いのすべては、許容され得るという点です。悪意があるかどうかは、ユーザーが望まない振る舞いをしたかどうかによって決まります。悪意があるとはそういうことです。そうでなければ、これらはすべて、コンピューターのロックやパスワードの変更、メモリの読み込みといった一般的な IT 機能と言えます。これらの機能がどのような状況で実行されたかによって、悪意があるかどうかが明らかになるのです」。そして、そうした場合にこそサイバーセキュリティにおける AI の真価が発揮されます。しかし、すべての AI ツールが同じように作られているわけではありません。ランサムウェアのような高度な脅威を、環境内部で実行前に阻止するには、成熟した AI モデルが必要です。

Tolly Group は最近、エンドポイント保護プラットフォーム(EPP)を対象に実際の最新マルウェア攻撃の独立テストを実施し、エンドポイントの有効性、効率性、脅威検知の所要時間について CylanceENDPOINT™ を主要な競合他社の製品と比較評価したところ、顕著な違いが見られたと報告しています。同調査の結果は以下のとおりです。

Tolly のレポートで詳細な結果をご確認ください。また、「Real World Performance Is the Ultimate Test for Predictive AI(実際のパフォーマンスこそ予測 AI の試金石)」(動画)もご覧ください。

BlackBerry は 10 年以上前からいち早くサイバーセキュリティに人工知能を取り入れており、CylanceAI が従来のセキュリティアプローチでは対処しきれないほど高度化の進むサイバー攻撃から医療機関を守るために必要な「処方箋」となることを確信しています。

同様の記事やニュースの配信を希望される場合は、BlackBerry ブログの購読をご検討ください。
Baldeep Dogra

About Baldeep Dogra

Baldeep Dogra は BlackBerry の Product Marketing Director です。

Bruce Sussman

About Bruce Sussman

Bruce Sussmanは BlackBerryの シニア・マネージング・エディターです。

戻る