CODE BLUE 2023で行われた以下のセッションのレポートです。
ランサムウェアの反響: 大規模サイバー攻撃の影響範囲の解明
ランサムウェアは世界規模の問題であり続けており、特に病院や診療所などの医療インフラに影響を与える場合には顕著です。最善の予防策と対応策を開発するために、ランサムウェアの影響をどのように調査すればよいでしょうか?被害を受けた病院からのデータ、特に患者の治療データを入手することは不可能に近いです。しかし、被害を受けた病院ではなく、被害を受けなかった病院に注目することで、ランサムウェアの影響を伝える方法があったとしたらどうでしょうか?セキュリティ研究者であり開業医でもあるクリスチャン・ダメフ博士とジェフ・タリー博士によるこのプレゼンテーションでは、新たに発表された影響力の大きい研究を調査するとともに、重要インフラ保護の担当者向けの新しいサイバーセキュリティの概念を紹介します。
2人のハッカー医師が臨床とセキュリティを携えて、「緊急事態発生」を意味する医療用語になぞらえて命名されたカンファレンスであるCODE BLUEに参加し、なぜ医療がデジタル化されるときにセキュリティにより真剣に取り組まなければならないのかを解説します。
Presented by : ジェフリー・タリー - Jeffrey Tully クリスチャン・ダメフ - Christian Dameff
レポート
- 講演者:
- ダメフさん、タリーさん:ふたりとも医者。タリーさんは麻酔科医
- 24時間病院は空いており、さまざまな患者に対応しなければならない
- なぜ医師が講演するのか?
- 二人とも以前はハッカーだった
- 「医師」という絵画
- 学校に入ったときに見せられた絵画
- 医師が患者の様子を見ている絵。医師はこうであるべき
- しかし現在医師が患者を見る環境は、昔とはかなり異なる。患者をとりまくさまざまな機器はWiFiで接続されており、呼吸器なども複雑なソフトウェアの制御のもと動いている
- 複雑なソフトウェアの上で動いているゆえに脆弱性がある
- 医療機器が脆弱性にさらされることの問題
- 2008年のペースメーカーのセキュリティに関する論文:ペースメーカーは心臓をモニタリングし、問題があれば除細動などを試みるが、脆弱性を突かれると、患者の心拍数をコントロールできたり、必要のないときに患者の刺激に刺激を与えてしまうこともできてしまう。それは命に関わる問題
- ランサムウェアについて:犯罪組織は病院にも攻撃を仕掛けている
- 2017年、WannaCryの攻撃では、イギリスやアメリカなどで病院などに被害があった
- 医療機器の脆弱性については今後もさまざまな問題が起きる可能性がある。そのなかで2つの派閥ができてきている。
- 「空が落ちてくる」(=深刻な事態である)と捉える人たち
- 医療機器のセキュリティ問題は大きな問題にならないと考える人たち
- かつて、医療では水銀を使ったり瀉血したり、といった現在の観点からみると誤った治療が行われていた
- 手を洗うということの効果も、ほんの200年前は疑問視されていた。現在は常識となっているが当時は議論があった
- このように、医療はさまざまな議論を経て進化してきてる
- 現在では科学をベースに議論がなされている
- 科学のエビデンスには階層がある。
- 単純な事例のレポートなどはエビデンスとしては弱い
- システマティックなレビューやMeta Analysisの情報はエビデンスとして価値が高い
- 医療機器の脆弱性の議論についても、価値の高いエビデンスを集めていく必要がある
- もし効果が測っていないとしたら、どうやって自分たちが行っていることが正しいと知ることができるだろうか?
- 病院へのランサムウェアの攻撃の件数は年々増えている。2020年、2021年のコロナ禍には急増した
- しかしそれが患者にどのような影響を与えるかがまだあまり分かっていない
- ある医師が1日のどれくらいの時間患者に直接接しているかを計測すると、1日のうちわずか28%だった。
- その他の時間のほとんどは電子カルテを閲覧するなど、机に座ってPCと向き合っている
- 医師は1日マウスを4000回クリックしているという計測データもある
- 医師の情報端末への依存が大きいことが分かるが、ランサムウェアなどによってダウンタイムが生じたとき、どれくらい患者へ被害が出るだろうか?
- 現場の混乱は起きることは分かるが、「そのせいで患者が亡くなる」という事例はあったのか?
- 残念ながらすでに出ている。ランサムウェアによりダウンタイムが発生して出産時に心臓の情報がモニタすることができず、障害のある状態で生まれてその後その赤ちゃんが亡くなる、などの事例がある
- 実際に事例はあるものの、現在自分たちがいま話せる事例は2、3ほどしかない。なぜか?
- 理由の一つは、病院が「安全な場所ではない」と思われたくないため公開されにくいという事情がある
- 病院だけではランサムウェアに感染した影響を正確に把握できない(より詳細な調査が必要)
- 現場の混乱は起きることは分かるが、「そのせいで患者が亡くなる」という事例はあったのか?
- 以前、講演者の近隣の病院でランサムウェアへの感染があった際に、影響を調査した
- 論文として公開
- 実際の影響について計測して数値化
- 近隣の病院にも副次的な影響があったことが分かった
- 患者への対応に通常よりも時間がかかっていた
- 結果として、近隣の病院が代わりに患者の受け入れをする必要が生じた
- たらいまわしにされる患者も生じた
- 教訓
- どういったエビデンスを使って影響を評価するか
- 科学的なアプローチでより有効な情報を収集する
- どんな業界も繋がっている
- ある業界の中だけでは問題の詳細が分からない可能性もある
- セキュリティ業界が他の業界と連携して課題解決にあたる、ということが必要
- どういったエビデンスを使って影響を評価するか
感想
- ランサムウェアが医療現場にどのように影響を与えるか、わかりやすい講演でした。自分が入院していてその病院のシステムが攻撃されたら・・・と思うと怖いですね。
- 医療業界に限らず、楽観論とどのように戦うか、という点で示唆に富んだ講演でした。攻撃の影響を調査し、問題を可視化させてエビデンスを提示する、というのは非常に重要であることを改めて意識させられました。
32
