近年、医療業界を標的としたサイバー攻撃が増加している。2018年7月に発生したシンガポールの医療機関に対するサイバー攻撃では、首相を含む150万人の医療情報が流出した。攻撃者は何を目的に攻撃を仕掛けてくるのか。米シマンテックでアジア太平洋地域のCTO(最高技術責任者)を務めるニック・サビデス(Nick Savvides)氏に話を聞いた。
ニック・サビデス(Nick Savvides)氏
コネクテッドカーやスマートシティにはじまり、冷蔵庫やスピーカーまで、あらゆるモノがインターネットにつながるIoT(Internet of Things)時代。今、多くの企業は5G(第5世代移動通信システム)の登場を見据え、さまざまな新サービスの開発に取り組んでいる。
IoTや5Gの登場で人々の生活は便利になる反面、IoTデバイスを狙ったサイバー攻撃の脅威も増大している。サビデス氏は、「中でも医療機器を狙った攻撃は、欧州、アジア地域、北米で急増している。問題なのは、医療現場において、サイバー攻撃の脅威が十分に理解されていないことだ」と指摘する。
同氏が「医療業界ならではの課題」と指摘するのは、ネットワークの複雑性だ。一般的なITシステムのネットワークとは異なり、医療業界では、さまざまなデバイスが複雑に相互接続し、患者の健康にかんする個人情報をやり取している。
「たとえばオーストラリアの場合、病院が保存する患者の電子カルテ情報は、担当医師や看護師、薬剤師、手術を担当する医師などで共有する。また、患者が加入している保険会社でも、その一部を共有することもある。しかし、データを管理するシステムは、各機関で異なるケースがほとんどだ。データが分散して管理されることは、それだけ攻撃ポイントが増加することを意味する」(サビデス氏)
1つの病院で利用されるデバイスは、医療関係者が利用するパソコンやタブレットをはじめ、MRI(Magnetic Resonance Imaging)装置などのほか、患者が装着するモニタリング機器など多岐に渡る。そして、個々のデバイスに備わるセキュリティ機能の強度はバラバラだ。
さらに、こうしたデバイスは脆弱性が発見されても、すぐに修正プログラム(セキュリティパッチ)を適用したり、ファームウェアをバージョンアップしたりはできない。サビデス氏によると「病院の、複雑かつ重要な情報を扱っているネットワークの中に、既知の脆弱性を修正していないデバイス(ファームウェア)が混在しているのが現状だ」という。
デバイスの相互接続性を考えたとき、セキュリティレベルが異なるデバイスの存在は、ネットワークにとって大きなリスクとなる。今後、歩数計やカロリー消費などを測定できる安価な個人用ヘルスケア・ウェアラブルデバイスがインターネットを介して病院ネットワークに接続されるようなことになれば、さらに脅威は増す。
さらにサビデス氏が「今後の攻撃対象となりうる」と指摘するのが、遠隔医療システムだ。
もし、ロボットアームがハッキングによって誤作動を起こしたら(当たり前だが)人命に関わる
遠隔地にいる患者に対し、インターネットを介して画像診断や専門医による問診といった医療行為はすでに行われてきた。さらに5Gの登場で今後は「遠隔にある医療機器をネットワークを介して操作し、治療する」といったことが現実味を帯びている。しかし、そうした医療機器(デバイス)に対するセキュリティ機能の検証は十分とは言いがたい。
「もともと医療デバイスはインターネットに接続されることを前提に設計されていない。『セキュリティ機能を搭載することで、医療機器としての機能が制限されるのであれば、本末転倒だ』との思いが強い。極端に言えば、緊急の利用を要する投薬ポンプなどの場合、パスワードを入れないと利用できないようなものは使えないのだ」(サビデス氏)
医療系デバイスの中には緊急時の利用に備え、あえてパスワードを設定しなかったり、だれでも利用できる仕様になっていたりする機器もある。サビデス氏は「遠隔医療システムが普及するようになれば、当然こうした“ジレンマ”も課題となる」との見解を示した。
