サイバー攻撃に狙われる「日本の医療システム」のヤバイ実態 | FRIDAYデジタル

サイバー攻撃に狙われる「日本の医療システム」のヤバイ実態

  • Facebook シェアボタン
  • X(旧Twitter) シェアボタン
  • LINE シェアボタン
  • はてなブックマーク シェアボタン

医療サイバーテロへの対策は喫緊の課題

新型コロナウイルスの感染拡大に便乗した医療機関に対してのサイバー攻撃が、世界各地で増加している。

日本でも、昨年10月末に徳島県つるぎ町にある病床120床の町立半田病院がサイバー攻撃を受け、未曽有の危機に瀕したことが話題となった。

また、昨年12月上旬には、東京都が都立病院を対象にしたサイバー攻撃に関する情報提供を受け、都立病院すべてに緊急の注意喚起を行ったことも報じられている。

今や病院に対する医療サイバーテロへの対策は喫緊の課題だ。

そんな中、全く新しい方法論で「医療サイバーテロ」にも対応できる新技術を研究・開発する企業がある。東大・京大・早稲田大・慶応大・イェール大などの出身者をはじめとした“若き天才”が集う「株式会社Scrumy」だ。

同社CEOで、京都大学法学部卒業後、東京大学大学院学際情報学府でガバナンスと情報セキュリティを強化するための研究を行ってきた笹埜健斗氏は、次のように分析する。

「半田病院の被害の場合、おそらくシステムの脆弱性を狙って無差別に攻撃した中で、あたってしまったのだと思います。 

今回VPN(ヴァーチャルプライベートネットワーク)で医療専用のネットワークに脆弱性が見つかったシステムが含まれていて、パッチを適用していなかった可能性が高いと言われています。

今回の犯行は、いま最も勢いがある『LockBit 2.0』という犯罪プロ集団によるものです。ランサムウェアのランサムは身代金という意味ですが、コンピューターのシステムにウイルスを送り込むことで、データを暗号化して見られなくし、暗号化を解除してほしければ身代金を払えと要求してくるのです。 

さらに、LockBit 2.0の手口として、身代金を払わなければダークウェブ上のリークサイトにデータをばらまくぞという二重脅迫をしてくることが挙げられます。 

実際にデータをばらまかれた事件もあります。盗んだ情報を公開するための『LEAKED DATA』という闇サイトがあり、そこでカウントダウンを表示して時限爆弾のように精神的にも一般企業や病院を攻撃する流れです。

それだけではありません。ある犯罪集団が開発したランサムウェアを『ランサムウェア・アズ・ア・サービス(サービスとしてのランサムウェア)』として、別の犯罪集団に売る市場も生まれています。そこでランサムウェアを買った犯罪集団がさらなる攻撃を行うのです」 

「株式会社Scrumy」CEO・笹埜健斗氏
「株式会社Scrumy」CEO・笹埜健斗氏

被害額は約2.5億円で、世界2位…ランサムウェア攻撃成功率95% !

実は調査会社Sophosの『ランサムウェアの現状』2020年版データによると、日本のランサムウェア被害額は約2.5億円で、世界2位! しかも、日本へのランサムウェア攻撃成功率は95%で、特に「ヘルスケア」部門においては、攻撃を受けた中の約3分の2が暗号化される段階まで被害が進んでしまったことがわかっている。

しかも、身代金を払った場合の方がシステムの復旧率が悪いという傾向も見えているのだ。

ちなみに、ランサムウェアの被害額が少ないのは、例えばトルコ。これは本物のランサム=身代金に政府が対応し慣れているせいだという。逆に言えば、日本が狙い放題だと犯罪者集団に認識されているのは「平和ボケの国」と見做されているからだろう。

それにしても、なぜ病院が狙われるのか。

「一つには、新型コロナウイルスへの対応で医療現場が手薄になる中、サイバーのセキュリティも手薄になっているところに狙いを定めていることがあるでしょう。 

診療記録など大切なデータが、ランサムウェアあるいはコンピューターウイルスによって抜き出されると、そこに患者さんの重要な情報、例えば生体情報などが含まれていることによって、病名などもわかります。例えば、よりリアルな振り込め詐欺ができてしまうわけです」 

日本では多くの病院が、医師のPCや患者予約システム、医事会計システム、検査機器などのデータをローカルネットワークでつなげ、院内サーバーにデータを保存する「オンプレミス型」を採用しているという。しかし、それは外とつながっていなくとも、例えば医師が自分のPCにUSBを差し込むだけで、ウイルスが容易に入り込める脆弱さをはらんでいるのだ。

また、オンプレミス型の場合、5年に1度全ての機器の買い替えを義務付けられており、費用が莫大になるという問題点もある。

そこで最近、勧められているのがクラウド型サーバーにデータを保存するクラウド型電子カルテです。しかし、実際に医師にヒアリングすると、やはり病院の外に情報が出るのが怖いという方は多いですね。 

それに、日本でIT化が進まない理由として、様々な分野で実権を握る決裁者のITリテラシーの低さが指摘されています。加えて、医療業界は政治的な利害関係が複雑に絡んでいる難しさもあります」 

日本のランサムウェア被害額は約2.5億円で、世界2位! しかも、日本へのランサムウェア攻撃成功率は95%(写真はイメージ:アフロ)
日本のランサムウェア被害額は約2.5億円で、世界2位! しかも、日本へのランサムウェア攻撃成功率は95%(写真はイメージ:アフロ)

医療の分野でもIT後進国の日本

そもそも日本では電子カルテの導入率が全然進んでおらず、400床以上の大規模病院は80%超になるものの、200床規模の病院では40%以下。オンプレミス型やクラウド型以前に、紙に手書きしている病院が多いのが現状だという。

「どうして紙なのかヒアリングしたところ、電子カルテにしてしまうと、コピーアンドペーストで終わらせてしまうことで、患者さんがいつ、どんな様子だったといった詳しい情報が、手書きに比べて記憶に留まりにくいという声が特に多かったです。 

何でもデジタル化が良いわけではないんですよね。そこで、例えば図は必ず手書きの方が良いなどといった、現場の生の声を反映した機能をプラスすることをコンサルティングしたり、商品化に活かしていただいたりしています」

さらに、笹埜氏は学生時代にNPO法人を立ち上げており、学校法人、社会福祉法人と情報化を進める上で、様々な現場に足を運び、看護師や医師、介護士、教師などから生の声をヒアリングした。

その結果、セキュリティの専門家が日本に非常に少ないこと、ITリテラシーの高い人材育成が急務であることを痛感したという。

「重要なのは、IT化が進んだアメリカの事例をいかに日本流にカスタマイズしていくか。日本の場合はガバナンスや承認のフロー、企業文化が違いますから、政府から企業までしっかりとデータ化、デジタル化を進めていく上で、日本流の社会実装が必要となります。 

技術だけ進んでもダメで、技術を追いかけていく人間のリテラシーも高めていかないといけないんです」

具体的な対策として笹埜氏が注目するのは2つ。

1つは、ブロックチェーンの技術を取り入れた分散型の電子カルテだ。

「現在のクラウド型の情報は中央集権型ですが、プライバシー的にも法律の観点から見ても問題が指摘されていますので、それをまず分散型にしていくことが望ましいと思います。 

具体的には一人一人のスマホに自分のカルテの情報が蓄積され、それを医師のパソコン上でも見られるようにすること。一番現実的なのは、治療用アプリケーションに慢性疾患などの日々の体調や健康状態を自分で蓄積する方法だと思います。 

例えば、ウェアラブルウォッチなどに蓄積し、医師の診断に役立てる際、共有して良い情報と、プライバシーで留めておく情報を自分中心でできるようにすることが大事です。 

今は医療では情報を患者よりも医師が握っていると言えますし、金融に関しては国が中心となって管理していますが、自分の情報は自分でコントロールし、必要な時だけ必要な相手に共有する時代が来ると面白いと思います

こうした自律分散型のスタイルが国全体ですでに成功しているとされるのがエストニアで、行政サービス全てがカード1つで行えるようになっているという。また、カナダのケベック州でも、分散型の電子カルテ「パーソナルヘルスレコード(PHR)」が導入されている。

さらに、笹埜氏らが進めているのは、医療情報セキュリティなどを担保していくシステム監査の仕組み、認定の制度を広めること。

「この病院はセキュリティのチェックを受けているのかどうか、危ない病院には助言し、専門家がセキュリティの健康診断をして、評価して、ランクで保証する。 

そうした病院選びの一つの基準としてセキュリティに関する仕組みを作り、地域のモデルケースを作った上で、全国に拡大していきたいです」 

「自分の(医療)情報は自分でコントロールし、必要な時だけ必要な相手に共有する時代が来ると面白いと思います」と語る笹埜氏
「自分の(医療)情報は自分でコントロールし、必要な時だけ必要な相手に共有する時代が来ると面白いと思います」と語る笹埜氏

笹埜 健斗(ささの・けんと)株式会社Scrumy代表取締役CEO。岡山県出身。高校時代、哲学オリンピックで金メダルを取得し、オーストリアのウィーンで開催された国際大会へ出場。京都大学法学部卒業後、CIO(最高情報責任者)等として、公益法人や企業のDX推進を統括。現在、AI・IoT時代の人間の本質を考えながら、東大発研究開発型スタートアップである株式会社Scrumyと東京大学大学院学際情報学府にて、「情報ガバナンス」と「情報セキュリティ」を強化するための研究および開発を行う。

  • 取材・文田幸和歌子

    1973年生まれ。出版社、広告制作会社勤務を経てフリーランスのライターに。週刊誌・月刊誌等で俳優などのインタビューを手掛けるほか、ドラマコラムを様々な媒体で執筆中。主な著書に、『大切なことはみんな朝ドラが教えてくれた』(太田出版)、『KinKiKids おわりなき道』『Hey!Say!JUMP 9つのトビラが開くとき』(ともにアールズ出版)など。

  • 撮影安部まゆみ

Photo Gallery3

FRIDAYの最新情報をGET!

Photo Selection

あなたへのおすすめ記事を写真から

関連記事