医療機関のサイバーセキュリティ危機に関するレポートを提供
セキュリティ意識向上トレーニングとフィッシングシミュレーション・分析を組み合わせた世界最大の統合型プラットフォームのプロバイダーであるKnowBe4社は、医療機関におけるサイバーセキュリティの現状を浮き彫りにする「International Healthcare Report」(英文)を公開した。このレポートでは、世界中の医療セクター、特に大規模な医療機関や病院グループ組織が現在経験しているサイバーセキュリティ危機について詳しく考察している。
アジア太平洋地域では、医療機関に対するランサムウェア攻撃が急増しており、シンガポールのサイバーセキュリティ庁によると、2020年から2021年にかけてこのようなインシデントが54%増加したと報じている。また、某地域医療ITプロバイダーは、毎日3,000通の悪意のある電子メールを傍受してブロックし、インターネットファイアウォールを突破しようとする試みを毎月170万件経験していることを明らかにした。
病院は、その広範にわたる患者データベース、機密情報、ネットワークで接続されたシステムや機器により、ランサムウェア攻撃にとって格好の標的となっている。その上、不十分なセキュリティ対策により、サイバー脅威に対してとても脆弱である。このような状況にあるため、攻撃を受けると、サイバー犯罪者によって病院システム全体が掌握され、患者の健康情報だけでなく、財務データや保険データにまでアクセスを許すことになる。
病院は、サイバー攻撃によって深刻な影響を受けることになる。病院へのサイバー攻撃は、電子システムへのアクセスの喪失、不完全な紙の記録に頼る、診療、治療の制限を招くことになる。その結果、手術や検査、予約がキャンセルされ、場合によっては、人命を失うことになりかねない。
このレポートの中で、注目すべきいくつかの衝撃的な事実が報告されている。
- 2023年第1四半期から第3四半期にかけて、世界の医療機関は1週間あたり1,613件という驚異的なサイバー攻撃を受けた。これは世界全体の平均の約4倍に相当し、前年同期から大幅に増加した。
- また、医療機関では、過去3年間にサイバー攻撃の被害額が劇的に急増し、情報漏えいの平均被害額は世界平均の3倍以上となる1,100万ドル近くに達している。その結果、医療セクターは、サイバー攻撃で最も被害が大きい業種セクターとなっている。
- また、ランサムウェア攻撃が、医療機関に対するサイバー攻撃の中で最も多く、過去2年間に成功した攻撃の70%以上を占めている。
- サイバー攻撃の大部分(79%から91%)は、業種や分野を問わず、フィッシングやソーシャルエンジニアリングの手口から始まり、サイバー犯罪者にアカウントやサーバーへのアクセスを許してしまっている。
KnowBe4が発表した「2024年フィッシング業界別ベンチマークレポート」によると、フィッシング攻撃に対して最も脆弱なのは医療・介護/製薬業界(Healthcare & Pharmaceutical)で、医療・介護/製薬業界の大規模組織の従業員がフィッシングメールの被害に遭う可能性は51.4%に上る。これは、サイバー犯罪者がこのセクターの従業員を2人にひとりの確率でフィッシングできることを意味する。
KnowBe4のCEOであるストゥ・シャワーマンは、今回発表した「International Healthcare Report」について次のようにコメントしている。
「病院が直面する患者の生死という重大性を考えれば、サイバー犯罪者にとって、医療機関は格好の標的です。患者データや重要なシステムを人質に取られ、多くの病院は法外な身代金を支払うしかないと感じています。この悪循環を断ち切るには、継続的なセキュリティ意識向上トレーニングを実施し、サイバーセキュリティに対する従業員の能力を強化するとともに、フィッシングやソーシャルエンジニアリング攻撃に対する強力な防御策として、能動的なセキュリティ文化を形成することが不可欠になってきています。」
本レポートは、北米、欧州、英国、アジア太平洋地域、アフリカ、中南米における医療機関のサイバーセキュリティの現状を調査している。さらに、2023年12月から2024年5月にかけて発生した世界的なランサムウェア攻撃のうち、最も重大なものとその余波、医療機関がサイバー攻撃から身を守るためにできることについても紹介している。
KnowBe4の「International Healthcare Report」(英文)をご希望の方は、こちらから確認いただきたい。
