米国ヘルスケア企業における情報漏洩事件からの学び

こんぷらいん

米国企業であるChange Healthcareが受けたランサムウェア攻撃は、医療セクターの脆弱性を明らかにし、規制強化の必要性を強調しました。この攻撃は米国全体の保険請求処理を混乱させ、多くの診療所や薬局が事前承認された処方箋や医療処置を実施できない事態を招きました。ここでは、この攻撃から学んだ重要な教訓をプロの情報セキュリティコンサルタントの視点からまとめます。

1. 多要素認証 (MFA) の重要性

攻撃者は、MFAが設定されていないChange HealthcareのCitrixポータルにアクセスしました。MFAは完全ではないにしても、システムを資格情報攻撃から守るための基本的なセキュリティ対策です。MFAを導入していれば、攻撃は避けられた可能性があります。

2. システムのセグメンテーション

攻撃者はシステムに侵入後、横方向に移動しデータを抽出しました。システムをセグメント化することで、攻撃者の移動を制限し、重要資産の露出を防ぐことができます。

3. M&A後のサイバーセキュリティデューデリジェンス

UHGによるChange Healthcareの買収後、システムの統合が行われましたが、適切なサイバーセキュリティデューデリジェンスが不足していました。買収後は包括的なセキュリティ監査が必要です。

4. サイバー保険の重要性

UHGはサイバー保険に加入せず、自社でリスクをカバーしていましたが、サイバー保険は高いリスク軽減基準を満たすことを要求します。保険に加入しない場合でも、認定されたサイバーセキュリティフレームワークに準拠することが重要です。

5. 攻撃者の動きを監視する

攻撃者はシステム内で9日間潜伏していました。このような遅延は企業攻撃において一般的であり、攻撃者の活動を早期に発見するための戦略が重要です。

6. 身代金支払いのリスク

Change Healthcareは攻撃者に身代金を支払いましたが、これは盗まれたデータの削除や再攻撃の防止を保証するものではありません。身代金支払いは倫理的なジレンマを引き起こし、他の組織をターゲットにする動機を与える可能性があります。

7. ヘルスケアセクターのリスク増大

医療データの漏洩はサイバー犯罪者にとって魅力的なターゲットです。システムの多様性や関与する多くの関係者は、攻撃者がシステムに侵入するための弱点を増やします。

8. ランサムウェア攻撃の増加

ランサムウェア攻撃は過去5年間で3倍以上に増加し、依然として重大な脅威です。RaaS(Ransomware-as-a-Service)の市場は依然として活発であり、新たな攻撃が続いています。

これらの教訓を実践することで、医療セクターはランサムウェア攻撃に対する防御を強化し、システムの安全性を向上させることができます。

背景

Change Healthcareは2022年にUHGにより約80億ドルで買収されました。この攻撃により、米国の保険請求処理が中断され、クリニック、薬局、患者に大混乱を引き起こしました。特に小規模な医療提供者や地方の薬局は、収益の大幅な損失を被り、一部は倒産の危機に瀕しました。

攻撃により、米国市民の3分の1の個人データが漏洩し、UHGは対応に872百万ドル以上を費やしました。これには、数千の医療提供者への無利息ローンの提供、インシデント対応、システムの再構築が含まれます。総損失は10億ドルを超えると見込まれています。

政治的反応

この攻撃を受け、米国の政治家は医療セクターにおける基礎的なサイバーセキュリティ基準の導入と情報共有の改善を求めています。また、業界の統合がサイバーリスクを増大させているとの懸念も提起されています。

脆弱なセキュリティコントロール

攻撃の多くは、貧弱なセキュリティコントロールが原因とされています。UHGのCEOであるAndrew Witty氏は、ハッカーが資格情報を使ってChange HealthcareのCitrixポータルにアクセスしたと証言しました。このポータルはMFAで保護されておらず、これが攻撃を許す大きな要因となりました。

システムセグメンテーションの欠如

ハッカーはシステムに侵入後、9日後にALPHV/BlackCatランサムウェアを展開しました。報告書によれば、Change Healthcareのシステムはセグメンテーションが欠如しており、これが攻撃者の横方向の移動を容易にしました。

M&A後のサイバーセキュリティデューデリジェンス

UHGによるChange Healthcareの買収後、統合されたシステムに対する適切なセキュリティデューデリジェンスが不足していました。M&A活動は、新しいサイバー脅威をもたらし、システム、データ、プロセスの統合には注意が必要です。

サイバー保険の欠如

UHGはサイバー保険に加入せず、自社でリスクをカバーしていましたが、これは適切なサイバーセキュリティ対策を犠牲にするものです。サイバー保険に加入しない場合でも、認定されたサイバーセキュリティフレームワークに準拠することが重要です。

ハッカーの動きを監視する

ハッカーはシステム内で9日間潜伏していました。これにより、攻撃者の活動を早期に発見するための戦略が重要です。

身代金支払いのリスク

Change Healthcareは攻撃者に身代金を支払いましたが、これは盗まれたデータの削除や再攻撃の防止を保証するものではありません。身代金支払いは倫理的なジレンマを引き起こし、他の組織をターゲットにする動機を与える可能性があります。

ヘルスケアセクターのリスク増大

医療データの漏洩はサイバー犯罪者にとって魅力的なターゲットです。システムの多様性や関与する多くの関係者は、攻撃者がシステムに侵入するための弱点を増やします。

ランサムウェア攻撃の増加

ランサムウェア攻撃は過去5年間で3倍以上に増加し、依然として重大な脅威です。RaaS(Ransomware-as-a-Service)の市場は依然として活発であり、新たな攻撃が続いています。

これらの教訓を実践することで、医療セクターはランサムウェア攻撃に対する防御を強化し、システムの安全性を向上させることができます。

この記事が気に入ったらサポートをしてみませんか?