医療におけるセキュリティはいったい何だったのか。ついにサイバー攻撃が発生

医療分野における史上最大とも言えるデータ流出事件を知る数時間前、私は医療システムにおける脆弱性ついて書いたブログ記事を投稿していました。

水曜、アメリカ第二位の医療保険会社が大規模なサイバー攻撃を受け、最大8000万人の顧客データが流出したことを発表しました。私は、今後問題が起こるのは間違いないと確信できるほど長い年月を医療IT業界で過ごしてきたわけですが、その発表があった朝の少し前、私は不気味なほど未来を暗示するかのようなブログ記事を投稿していたのです。「3 Vectors of a Healthcare Cyberattack」で説明したように、ハッカーが医療データを標的とすることの潜在的な見返りは非常に大きいのです。

「患者データの闇市場は、小売業のデータ侵害で盗み出されるクレジットカードデータの闇市場に比べ、最大20倍も価値が高いと言われています。医療データには詳細かつ豊富な情報が含まれており、サイバー犯罪者がなりすまし犯罪や詐欺に使える情報にあふれています。さらに重要なのは、患者が自身の情報が流出したことを知るまでにはるかに長い時間がかかるということです。」

医療ITを追ってきた私たちは、Target社規模のデータ流出が大手保険会社や病院グループに起こるのも時間の問題だとわかっていました。しかしAnthem(ブルークロスという保険ブランドでよく知られている)への攻撃は特にひどいように思えます。

Anthemは声明で以下のように述べています。

「ハッカーたちは、既存および過去の加入者の氏名、誕生日、メディカルID/社会保障番号、住所、電子メールアドレスといった個人情報の他、収入データを含む従業員の個人情報を入手しました。」

クレジットカード番号や支払い情報は流出していないものの、こうしたデータを使ったなりすまし犯罪や関連詐欺が行われる可能性は非常に高いでしょう。それ以上に懸念されるのは、侵害の完成度の高さです。Anthemは今回のデータ流出に関して特別に設置したウェブサイト(www.anthemfacts.com)上で、影響はAnthemの全事業に及んでおり、同社の保険プランやブランドすべてが影響を受けていると述べています。ハッカーたちが支払い情報を狙わなかったため、今回この情報は流出しませんでした。だからといって、脆弱でないわけではありません。ただアタッカーたちがこれを狙わなかったというだけのことです。

昨年起きた注目度の高いデータ流出ケースのほとんどと同じように、これは特定の企業、あるいは特定の技術ソリューションを非難するものではありません。残念ながら、ハッカーや彼らが使用するツールは驚くほど巧妙なものになっており、私たちのシステムの多く(医療でもそれ以外の分野でも)がただそれについていけていないということなのです。昨日述べたように、マルウェア、フィッシングスキーム、トロイの木馬、ランサムウェア、その他多くの攻撃がインザワイルド状態で出回っていますが、医療業界は特に脆弱な状態です。なぜなら、その他の業界で導入されているような組み込み型の保護機能や、根本的なセキュリティに対する考え方が欠けているからです。アメリカだけでも、医療は3兆ドル規模の業界です。患者データは病院や診療所、保険会社の数多くのシステムや、人材データベースにも入っています。こうしたシステムには、レガシーソフトウェア、特別な目的のために構築されたハードウェア、問題を抱えた保険取引所などがあります。絡んでいる金額の大きさ、データの価値の高さ、攻撃対象領域の大きさを考えると、Anthemのデータ流出はこれまでで最大規模のものかもしれませんが、残念ながらこれが最後ということにはならないでしょう。2014年に起きたデータ流出のどれよりも、今回の件はサイバーセキュリティに本腰を入れるための警鐘とならなければなりません。特に医療業界では消費者のリスクが、ただ単純にクレジットカードを解約すれば良いという程度では収まらないため、真剣に考える必要があるでしょう。