77％が標的に――医療機関を狙う攻撃の実態と、求められる対策：ランサムウェア被害の現実と対策

医療機関の77％が過去12カ月に標的になり、半数超が身代金を支払った。身代金を支払っても、データの復旧や秘匿は保証されない。ID基盤侵害の深刻化も明らかになった。

[Jill McKeon，TechTarget]

　「身代金の支払いは次の攻撃への頭金だ」――サイバーセキュリティ企業SemperisのCEO、ミッキー・ブレスマン氏はこう警鐘を鳴らす。実際に支払いに踏み切る組織はあるが、復旧や情報の秘匿が確実に担保されるわけではない。では、こうした現実を踏まえ、何を優先し、どこに投資すべきなのか。

　サイバーセキュリティ企業Semperisが委託し、調査会社Censuswideが実施した調査で、医療機関が攻撃者に狙われている実態が明らかになった。Censuswideが医療を含む複数産業のITおよびセキュリティ担当者1500人を対象に、調査を実施したものだ。

医療を直撃する攻撃の現実

併せて読みたいお薦め記事

医療データの脅威分析

• なぜ医療が狙われるのか? 2025年版「DBIR」で読み解くデータ侵害の実態
• 医療業界がランサムウェアの3番目の標的に 背景にある攻撃者の変化とは?

連載：ランサムウェア攻撃者との交渉ガイド

• 前編：ランサムウェア集団への「身代金支払い」を企業が拒否し始めた理由

　Censuswideの調査では、医療機関の回答者の77％が「過去12カ月に自組織がランサムウェア（身代金要求型マルウェア）の標的になった」と回答し、そのうち53％で侵入や暗号化が実際に発生した。医療分野が継続的にサイバー攻撃にさらされている現実が浮き彫りになった。

　全業界では、前年と比べて「過去12カ月のランサムウェア攻撃の報告件数」が少ない結果となった。それでも多くの組織が身代金を支払い、複数回の支払いを報告した回答は全体の55％に上った。医療分野に限ると、40％が1回、42％が2回の攻撃を経験。12％は同時に複数の攻撃を受け、35％は攻撃間隔が1〜6日だったと答えた。

身代金支払いの実態と他業界比較

　医療分野では約53％が身代金を支払った。支払額は、過半数が50万米ドル以下、39％が50万〜100万米ドルの範囲に集中した。一方で「支払い率」という観点では、医療は本調査に含まれる他業種より相対的に低い。例えばITおよび通信は75％、金融は77％、政府機関は57％が支払いを報告している。つまり、医療は他業界より支払いに踏み切る割合は低めだが、半数超が支払っているという事実は重い。

　SemperisのCEOミッキー・ブレスマン氏は次のように述べた。「身代金の支払いは、決してデフォルトの選択肢であってはならない。会社が選択の余地のない状況に追い込まれることもあるが、それは攻撃者の資金源になり、再攻撃の動機付けにもなると認識すべきだ。惨禍の連鎖を断つ唯一の方法は、「レジリエンス」（障害発生時の回復力）に投資し、身代金を払わないという選択肢を持つことだ」

　世界全体の結果でも、身代金を払っても復旧は保証されていない。支払った被害者の15％は「復号鍵が壊れていた、または鍵自体が提供されなかった」と回答した。仮に有効な鍵を受け取り復旧できた場合でも、その後に攻撃者が盗んだデータを公開した事例がある。

アイデンティティー（ID）基盤への影響と被害

　医療分野では、過去12カ月にランサムウェア攻撃を受けた回答者の78％が、アカウントや認証、認可、ディレクトリといった「ID基盤」の侵害を受けたと答えた。ID基盤の侵害は、データ漏えいやブランド毀損、雇用の喪失など深刻な影響を及ぼす。現在の攻撃は、初期侵入や横展開の多くがID基盤に依存しており、IDセキュリティの強化は喫緊の課題である。

レジリエンス強化に向けた提言

　Semperisは、サイバーレジリエンスへの投資強化がリスク低減の鍵だと指摘した。報告書に寄稿した専門家パネルは、次の取り組みを推奨している。

• ランサムウェアの開発や、展開戦術の変化を見据えた備え
• 対応計画の文書化と定期的な訓練およびテスト
• パートナーやサプライチェーンベンダーのセキュリティ評価

　米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）の前長官で、Semperisの報告書の寄稿者であるジェン・イースタリー氏は、次の通り語った。「ランサムウェアは避けがたい日常ではなく、まれな異常事態に押し戻せると信じている。それが私の生きたい世界だ。サイバー攻撃が航空機の衝突と同じくらいまれな世界。私たちはそこに到達できると信じている」。

翻訳・編集協力：雨輝ITラボ（リーフレイン）