こんにちは。当ブログをご覧いただき、ありがとうございます。
2020年11月12日放送のNHK番組「クローズアップ現代+」で、コロナ禍の影響で増えるテレワークを狙ったサイバー攻撃が多発していると報道がありました。2020年9月には日本医師会の事務局のPCがマルウェア「Emotet(エモテット)」に感染し、医師会を語る不審なメールが送信されるという事件が起きたため、サイバー攻撃はもはや対岸の火事ではなく、病院にとっても無視できない事態になってきています。
▼日本医師会のホームページに掲載された報告書。医師会名義のメールが来たら、病院職員であればウイルスとは疑わずうっかり開いてしまうでしょう。
しかし藪から棒にサイバー攻撃と言われても、そもそもそれは何なのか、対策しなければどんな問題が起きるのかが想像がつかない、という方もいると思います。そこで本記事では、病院も直面するサイバー攻撃に対して、備えるべき対策を考えてみます。
サイバー攻撃とは
サイバー(cyber)は英語で「インターネット上の」を意味する言葉です。インターネットを通じて、相手方のコンピュータシステムを破壊したり、情報を不正に窃取したりといった打撃を与えることがサイバー攻撃です。「攻撃」ですから、不特定多数に感染させることを目的としたコンピュータウイルスとは異なり、標的を狙い撃ちすることを目的としています。
攻撃の手法はさまざまありますが、最近特に目立っているのが「フィッシング詐欺」と「ランサムウェア」です。
昔はコンピュータウイルスといえば、画面に訳の分からないポップアップが出て起動不能になるといった、破壊を目的としたものが主でした。大した情報が入っていなければ最悪PCを買い直せば済むことであり、セキュリティに対する世間一般の関心は「ウイルス対策ソフトが入っていれば大丈夫だよね」くらいの認識だったように思います。
ところが最近では、標的からインターネット口座のログイン情報を盗み取ったり、盗んだ個人情報と引き換えに金銭を要求したりといった、より身近で実害の大きい手口になってきており、対策が迫られているのです。
フィッシング詐欺とは、「釣り」の意味から来るように、餌に引っ掛けるようにして標的を騙し、情報を窃取する手口のこと。銀行や取引先などを装ったメールに嘘の情報を仕込み、偽のWebサイトに誘導してログインIDや個人情報を抜き取ります。
2020年9月、「ドコモ口座」を語る名義で不正に銀行預金が引き出される事件が多発したことは、記憶に新しいところです。この事件で2要素認証(パスワード+生体認証など2つの認証機構を組み合わせたもの)の重要さが注目されましたが、実はその2要素認証もフィッシング詐欺により破られるケースがあることが判明しています。
▼ドコモ口座の一件は、リバース・ブルートフォースアタックなど新しい手口が登場し、学ぶべき点が多い事件でした。こちらの記事で2要素認証と併せて紹介していますので、ぜひご覧ください。
また2020年11月には、大手ゲーム会社のカプコンが身代金要求型ウイルス・ランサムウェアの被害に遭い、職員の個人情報が漏洩する事故に発展しました。
ランサムウェアに感染すると、「○月○日までに金額○○を支払わなければ、盗んだ情報を公開する」といったメールが届きます。カプコンには日本円にして約11億円を要求する脅迫メールが届いたようで、警察に通報し然るべき対処を取っていたようですが、実際に情報漏洩が起きてしまったことからして要求を無視したのでしょう。その対応の是非はさておき、予備知識がなければ多くの人が「いつもの迷惑メールだろう」「ただのハッタリだ」で済ませてしまうのではないでしょうか。
コロナ禍の混乱に乗じた不正アクセスは次々と発覚しており、同じく2020年11月に不動産賃貸の大手・東建コーポレーションも個人情報の流出を発表したところです。
このため、サイバー攻撃とは一体どんなリスクなのかを認識しておくことが大切になります。
いま注意すべきはテレワーク環境のセキュリティとメールの中身
通常、会社や病院のPCはウイルス対策ソフトがインストールされ、基本的な保護はされています。今のご時世、不審なメールは開かない、仕事のPCからおかしなサイトには訪問しない、といったことは言うまでもない常識であり、従業員もそれは心得ているはずです。
まして大きな組織であれば、システム管理部門がハードウェア・ソフトウェア双方の観点から堅牢なシステムを設計・構築・運用しているはずで、不正アクセスなど外部からの攻撃に対しては強固に守られており、やすやすとサイバー攻撃を許すはずがありません。
ところが、コロナ禍により緊急でテレワークを余儀なくされた環境では、即席でこしらえたテレワークの体制に脆さが見受けられるケースがあります。セキュリティを確保して遠隔地同士を接続するソフトウェアを使えばよいのですが、そうした対策もせず単にインターネットを介して自宅から会社のPCに接続する、といった環境では無防備といっても過言ではありません。
せっかく費用と手間をかけてセキュリティ対策を徹底しているところに、緊急だからと言っておざなりの対策をしてしまっては、鉄壁に穴をあけるようなもの。予備知識がないといい加減な対処を平気でやってしまう恐れがありますので、テレワークを行うに当たり配慮すべきセキュリティに関心を持ち、情報収集することが大切です。
まずはPCに明るい人やシステム管理部門にきちんと相談し、セキュリティ対策を施した上でテレワークを行うように整えましょう。データの入ったハードディスクを持ち出したり、パソコンの設置場所を変えたりなど従来の仕事環境を変えるときは「これはセキュリティの観点から安全だろうか?」と問題意識を持つようにしたいものです。
▼やむなくデータを持ち運びするなら、自動ウイルスチェックやパスワード保護機能を搭載したUSBメモリを使うとより安全です。万が一紛失した場合のリスクヘッジにもなります。
▼総務省のホームページで、テレワークのセキュリティ確保に関するガイドラインや相談窓口が掲載されていますので参考にするのも手です
▼セキュリティを確保して遠隔地をつなげるソフトウェアの一例
ランサムウェアは、組織のネットワークに不正に侵入し、データを盗んだりウイルスを仕掛けたりしていくため、セキュリティの甘いところが標的になります。あらためて兜の緒を締めたいところです。
▼ランサムウェアによる被害の例
またフィッシング詐欺は、メールから感染する例がほとんどです。メールに書かれた内容を信じてしまったり、うっかりWebサイトを訪問したりして感染します。中身が巧妙に作られているだけに、「あやしいメールは開かない」と決めていても見破れないケースがあります。
IPA(独立行政法人 情報処理推進機構)のホームページに、フィッシング詐欺の事例と対処方法について紹介されていますので、一読しておくことをオススメします。具体的な予防策としては、アクセス先のWebサイトで「URLを確認する」「httpsであることを確認する」ことが推奨ですが、PCの分からない人には何のことか分からないでしょうから、心当たりのないメールが来たら開かず、システム管理部門に相談してもらうよう促すのが一番かと思います。
「URLを確認する」というのは、本物のURLかどうかを確認するということです。例えばYahoo! JapanのURLは「https://www.yahoo.co.jp」ですが、偽サイトでは「https://www.yahooo.co.jp」(oが1つ多い)など紛らわしく似せてあるのです。
また「httpsであることを確認する」は、「https://www.yahoo.co.jp」でいうところの赤字の部分です。https(末尾のsが重要)は、そのWebサイト上で扱う情報を暗号化していることを意味し、セキュリティが確保されています。通常のWebサイトを制作するよりも手間や費用がかかるため、偽サイトでは「httpsではない」ケースが多く、ここで見破れることがあります。
▼「オススメのウイルス対策ソフトはなに?」と聞かれたら私は「ESETインターネットセキュリティ」を推奨しています。Canonによる国産ソフトであり、フィッシング詐欺やランサムウェアからの保護に対応しています。
以上、コロナ禍に乗じて多発しているサイバー攻撃に対して、病院が備えるべき対策を考えてみました。
会社や病院ごとにパソコンのネットワーク環境は異なりますから、専門知識を持った人が個別の環境に適したセキュリティ体制を確保し、サイバー攻撃に備えることが今求められています。
特にいまコロナ禍の混乱のなかにあり、どの組織も自分の足元が見えづらく、脇が甘くなっているかもしれません。「人の振り見て我が振り直せ」で、情報漏えいを他人事と思わずしっかり対策を講じていきましょう。
------------------------------------------------------
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。面白そうだと思っていただけたら、ぜひブラウザにお気に入りの登録をお願いします!
▼「病院内SEをもっと世間に知ってもらいたい」「面白かった」と思って頂けた方は、ぜひ下の「人気ブログランキング」のボタンを押してください! ブログのアクセス数向上につながります。