病院を襲った「身代金ウイルス」　医療データ読めず現場は大混乱　凶悪化するサイバー攻撃＝編集部

　市立東大阪医療センターの遠隔読影システムが5月31日、サイバー攻撃を受けた。

　患者のCT（コンピューター断層撮影）やMRI（磁気共鳴画像化装置）などの画像データをデジタル回線で送信して専門医が読影診断するシステムだ。ここが「ランサムウエア」と呼ばれる脅迫型のコンピューターウイルスに感染し、画像が閲覧できない障害が発生したのだ。

ソフトの弱点「狙い打ち」

　6月14日には同センターが警察へ被害届を出し、厚生労働省など関係省庁に通報、セキュリティー調査会社が原因究明や被害状況の調査を行っていると発表（22日）したが、7月12日時点で復旧したとの発表はない。

　ランサムウエアを使った攻撃は、「感染したパソコンを復旧させるパスワードが欲しければカネを払え」と脅迫する世界で急増しているサイバー攻撃だ。

　同センターが感染したコンピューターウイルスは「レビル（REvil）」と思われる。米大手ネットワーク・セキュリティー会社フォーティネットの「フォーティOS」というセキュリティーソフトの脆弱(ぜいじゃく)性を狙い撃ちした攻撃で、米国の医療機関からも被害が報告されている（詳細はこちら）。

　センターの復旧が長引いている理由は、システムのバックアップも「暗号化」されてしまったためで、多くの画像データが読めない状態になっているようだ。

　ランサムウエアの攻撃を防ぐには、使用しているパソコンのOS（基本ソフト）を常に最新状態に保ち、システムのオフライン・バックアップ（システムを停止した状態で行うバックアップのこと）を確実に取り、遠隔読影システムと通信できるパソコンのIPアドレス（インターネット上の識別番号）を固定するなどの措置が大事だ。

　医療機関では遠隔読影システムのファイアウオールにフォーティネットの「フォーティゲート」を使っているケースが多い。至急、サイバー攻撃に対する脆弱性を解消するパッチ（更新プログラム）を当てる必要がある。

内閣官房は事前に警鐘

　実は今年4月30日、内閣サイバーセキュリティセンター（NISC）が「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表し、全5枚の資料の中に「ランサムウエアを用いる攻撃者グループによる悪用が報告されている（中略）以下の脆弱性に十分に留意」と個別に七つのソフトウエアをあげ、その中にフォーティネット製ネットワークの脆弱性についても警鐘が鳴らされていた。これに対応していなかったことが今回、東大阪医療センターが攻撃された理由と考えられる。

　今回なぜ事前の警鐘が生かされなかったのか。同センターは調査中を理由に回答しなかったが、せっかくの警鐘も意味がなかった。

　厚生労働省は事件発覚後の6月28日に各都道府県宛てに「医療機関を標的としたランサムウエアによるサイバー攻撃について（注意喚起）」を事務連絡として出した。全77ページにのぼる大量の注意喚起だが、この別添にも、NISCが4月30日に発表した前述のランサムウエアの注意喚起が添付されている。

　今回、不幸中の幸いは、犯人がデータをさらしていないとみられることだ。「暗号化されたデータが、DICOM（ダイコム）という国際標準規格で、特殊な形式のため特別なソフトが必要。犯人はこのソフトを入手できていないのではないか」（サイバーセキュリティーの専門家）というのだ。

　ダイコムはCT、MRI、内視鏡などの医用画像診断装置や画像プリンター、画像システム、医療情報システムなどの間でデジタル画像データや診療データを通信したり、保存する方法を定めた国際標準規格だ。

行動する仕組みが必要

　今回の事件はサイバー犯罪には国境がないことを改めて認識させられた。日本の企業や組織だけでなく、捜査機関にもサイバー犯罪に対する知識と対応力が求められるが、事前に警鐘が鳴らされながらも現場に届いていなかった事実も大きい。

　厚労省医政局の医療情報技術推進室は「本事案は軽視してはいけないもので、今後の厚生労働行政に生かしていきたい」と回答したが、複雑化、高度化するサイバー攻撃への対処を各機関・団体のトップから現場にいたるまで情報を共有し、迅速な行動を取る仕組み、例えば水面下で説明会を開催するなどの対策を取らない限り、同じ事件が続発するのではないか。

（編集部）