重要インフラ(医療関連を含む)へのセキュリティ対策、今こそ優先すべき時

この記事をシェア

サイバー犯罪者の標的の中でも、インフラ関連施設の制御システムへの攻撃は1地域にとどまることなく、場合によっては世界全体に影響を及ぼすかもしれない。また医療関連施設への攻撃は、非常に機密性の高い個人情報が盗み出され闇市場で売買されて悪用される恐れがある。

この記事は、ESETによるホワイトペーパーおよびESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を基に、日本向けの解説を加えて編集したものである。

重要インフラ(医療関連を含む)へのセキュリティ対策、今こそ優先すべき時

長年にわたって、産業システムのセキュリティは分析と議論の対象となってきた。特に2010年に、強力なワームである「スタクスネット」(Stuxnet)に対する脅威が発生したことで、あらためて、これらのシステムが外部の攻撃に対して極めて脆弱であることが確認された。

スタクスネットの攻撃から6年が経過すると、「フレーム」(Flame)や「デュークー」(Duqu)といった、スタクスネットに続く脅威も登場し、業界を問わず、ITセキュリティチームが重要なデータを守ることは、極めて困難になってきている。

こうした状況を鑑みると、一つの明確な疑問にたどり着く。これらの企業や産業は、現在から将来に向けて起こり得るセキュリティ課題に、はたして本気で立ち向かう準備ができているのだろうか。

危機にさらされているシステム群

重要インフラの情報セキュリティを担保する重要性は長年認識されているが、改善を要することを露呈してしまうケースがまだまだ存在している。

セキュリティの欠陥が生じる主な原因は、たいてい、それぞれの機器に対して、ハードウェア制御システムへの変更もしくはアップデートの導入を許可しないことが挙げられる。

まとめると、組織は重要インフラを従来の、脆弱かつインターネットに接続されたOSを利用して管理している。そのため、セキュリティインシデントが発生する可能性が上昇している。そこでメーカーや産業界は、こうしたインフラをアップデートし、潜在的なセキュリティ侵害を許してしまうようなセキュリティ欠陥を最小化するための活動を積極的に実施する必要がある。

情報資産の管理こそが重要

多くの業界において旧来のOSが配置されている現状に加え、もう1つ大きな課題が存在する。それは、メンテナンスと管理を実施するために、制御機器が公共のインターネットとも接続している場合が多いということである。この機能は、もともと制御機器が持つべき機能として設計されていたものである。常時アクセスが可能なため、これは大きなセキュリティリスクであると考えられる。そのため、適切な管理運営が実施されなければ、権限のない個人がそのシステムにアクセスできてしまいかねない。そのため、技術サポートの目的にのみアクセスを許可するか、それとも、データの送受信にはVPNのような安全な接続の利用を義務付けるような管理ポリシーを用意すべきである。

さらに、ファイアウォールのような制御・保護メカニズムの機能性を検討する必要がある。多くの組織は、通信機器をあらかじめ設定してあったルールセットのままで使用している。そのルールセットは特定のネットワークの上で2つのコンピューターが通信を確立できる環境を想定している。だが、その接続に特有のトラフィックに関する確認はなされていない。制御システムでは特定のプロトコルを利用しており、一般的なファイアウォールはこれらのプロトコルを考慮していない。そのため、簡単に盗聴されてしまいかねない通信プロトコルを扱っている場合がある。新たなファイアウォールを設置する際には、制御能力を強化するとともに、産業システムで利用されているプロトコルの特定をすべく、しっかりとトラフィックの分析をする必要がある。

それらの能力を兼ね備えた機器を実装しようとする産業システム用ファイアウォールのメーカーも存在するが、産業界においてそのようなハードウェアの進化は遅く、その実現に向けて多数の課題が存在しているのが現状である。

上記の状況に加え、ビジネスマネジメントに密接に関連する大きな課題がある。それは、マネジメントとセキュリティが2つの別の課題として切り離されて扱われていることである。このことは通信にとても重大な影響を与えており、組織にとって深刻なセキュリティ問題を引き起こしかねない。もし企業のマネジメント層がセキュリティを企業にとって「完全かつ必要不可欠なドライバ」ではなく「邪魔」と考えてしまったならば、セキュリティのインシデントの発生確率は増加し、最終的には組織に問題を生じさせることとなる。幾つかの重要インフラサービスは、公共と企業のどちらの分野においても、セキュリティシステムの適切な設定よりも何よりも利用することの方が優先されるケースが多い。だが、このことはインターネットに接続する産業システムに対して、潜在的に攻撃が可能となっている。実際の利用がとにかく大事であるという特別な場合があったとしても、データの機密性と完全性についても、しっかりと考慮に入れるべきであろう。

最後に、企業の目的実現のために広く普及しているアプローチとして、「もし今正常に機能しているなら、それ以上触らないに越したことはない」という、セキュリティの観点からは非常に疑念の多い考え方に触れておきたい。この考えに従うと、しっかりと動作すると言われているものをあれこれいじくり回すことに対して不安感を抱くことから、セキュリティチームが適切なメンテナンスの仕事ができないということが時に生じかねない。時代遅れでパッチの当てられていないOSは動作不良を起こしたり、攻撃者の不正アクセスを許容してしまいかねないので、セキュリティ上、明らかに問題があると考えねばならない。

基本的には、現在うまく動作しているからといって、将来のリスクに対して今の時点で対処しなくても構わないということにはならない。何か問題が発生する前にその原因を取り除いておくことこそが、望ましい考え方であろう。

産業界を無差別に標的とした共通の脅威

エネルギー、石油、鉄鋼、その他の産業システムを標的にしているサイバー犯罪者について言えば、「タクスネット」「デュークー」「フレーム」などのような高度で複雑な脅威に限定されない。2015年には「レイジオック」(Laziok)と呼ばれるマルウェアによりエネルギー企業が攻撃を受けたという報告が複数存在する。レイジオックはセキュリティの欠陥が存在するシステムのデータを収集するのに利用され、マシン名、CPUの詳細情報、RAMサイズ、ハードディスク容量、そしてどのセキュリティ対策ソフトがインストールされているのかなど、さまざまな情報が収集された。

この情報を基に、サイバー犯罪者はこれらのコンピューターが将来の攻撃の標的になるかどうかを決定する。これらのケースで興味深いのが、それがMicrosoft Windowsの脆弱性をエクスプロイトした添付ファイルを持つ電子メールに基づく攻撃であったことである。さらに問題であったのは、2012年4月にはこの脆弱性に対するパッチが存在していたにもかかわらず、多くの産業界においてこのパッチが適用されていなかったことである。

最も影響を受ける業界の1つ、医薬業界

上記の産業セクターに加え、ここ数年、医薬業界についてもセキュリティの議論が活発になされている。2015年には、ベライゾンのデータ侵害事件に関するレポートの中で、アナリストは80,000のセキュリティインシデントを特定した。そのうち234件は医薬関連のものであった。データ損失・侵害事件については2,100件あり、そのうち141件が医薬業界のものであった。

内部犯行や悪い慣習などを含む多数のセキュリティ課題が顕在化し、それらが医薬業界において、セキュリティインシデントを引き起こしている。ベライゾンのレポートによると、2014年は全体の15%、2015年は20%が、それらの原因により引き起こされている。

また、医薬組織はWebアプリケーションへの攻撃とDDoS攻撃に対して脆弱である。実際、ほかの業界の総計と比べて医薬業界ではこれらの攻撃による被害が4%高かった。

これらの情報に加え、ポネモン研究所の報告によると、医薬組織におけるセキュリティ侵害の真因は、偶発的なものから意図的なものへと移行してきていることが明らかになった。犯罪に相当する攻撃は5年前と比べ125%増加しており、ノートパソコンの紛失はデータ流出の最も一般的な脅威ではもはやなくなった。

さらに、2015年に実施された「医薬業界のデータのプライバシーとセキュリティに関するベンチマークスタディ」(毎年実施、5年目報告)によると、ほとんどの組織は、新たなサイバー脅威に対応する準備ができておらず、患者のデータを保護するのに十分なリソースを欠いている。データ侵害の真因はサイバー攻撃であると回答する人の割合は、医薬組織の45%であり、2013年時の40%よりも増加している。

非常に脆弱な医療機器

上述のセキュリティ管理の課題に加え、新たな医療用機器が大きなリスクを生じている。これらの機器の機能向上の中にはインターネット接続機能も含まれているが、これは良い点も悪い点もある。例えば、埋め込み医療機器 (IMD)はさまざまな健康状態に影響を与えかねないが、それでもセキュリティ面での懸念は甘く評価され、見落とされることさえある。

医療用装置へ向けられた脅威は決してバーチャルではなく現実のものであり、多種多様な機器がマルウェアに感染している。その感染はたいてい知らず知らずのうちになされている。実際、2014年には300以上の外科用機器に脆弱性があると報告されており、攻撃者はこれらの機器の設定の変更さえできかねない状況にある。

産業機器全般におけるセキュリティと同様に医療用機器の接続にはとても重要な側面がある。この観点から考えると、無線接続のセキュリティレベルは通常とても低く、また、医療機器業界もそれらの機器にセキュリティ機構を実施するのにまだ時間がかかるということが言えるだろう。そのため、十分なセキュリティ対策を持たない時代遅れのアプリを利用している医療機器は非常に容易な標的となる。ネットワーク接続されている生物医学機器の大半は変更を許容せず、サードパーティ・ベンダーの認証エージェントをサポートしないため、Webブラウザー経由でのアクセスに対して脆弱である。

2015年には、緊急医療システムに脆弱性があり、攻撃者にエクスプロイトされるリスクがあることを研究者が発見した。彼らの研究レポートによると、攻撃者はインターネット接続されている機器にアクセスすることができ、米国の医療提供機関のネットワークにアクセスし、最大68,000もの医療システムや装置について、攻撃者にさらされている脆弱性を発見した。

そのため、医薬業界は、資金がしっかりと投資され、リソースとアセットがしっかりと保護されていることを保証すべく、より積極的に防衛計画を作り、リスクアセスメントをより迅速に実施していかなければならない。理想的には、リスクアセスメントは周期的というよりは、継続的に実施されるべきである。これにより新しい資産だけでなく、物理的およびデジタルの戦術や防御もまた直ちに事業計画とインシデント対応計画に含まれることになる。

窃盗を記録せよ――情報漏えい以上の被害

これまで議論してきたようなセキュリティホールをエクスプロイトするタイプの攻撃に成功すると、サイバー犯罪者はたくさんの情報を収集することができる。特に、医薬業界では多数の情報を収集可能であり、患者の名前、健康保険番号、電話番号、住所、メールアドレス、その他の個人情報を収集することができる。診断結果や投薬記録に関する情報など、他人には決して知られたくないデータも不正に入手されることさえある。この情報は攻撃者にとって非常に価値のあるものであり、盗まれれば、上述の他の個人データと共に専門のブラックマーケットで利益のために販売される。

どこでその情報を取得したかにかかわらず、すなわち、その情報がオンラインに公開されている一般に利用可能な情報であるか、もしくは医療記録から盗まれた特定の情報であるかにかかわらず、もし犯罪者が大量の情報を獲得することができれば、彼らはそれらの情報を販売したり、各種犯罪を行うために被害者の身の上に関する情報を盗んだりすることができる。例えば、偽装IDを作成したり、銀行口座を作成してクレジットカードを申請したり、脱税したり、オンライン講座へアクセスするためのセキュリティの質問に回答したりして、新たにデジタルの領域へと脅威を広げるのである。

明らかに、インターネットと無線ネットワークの利用は医薬業界にとって非常に有用性が高い。特に、インターネット接続を用いれば、ユーザーは瞬時にどこからでも患者の医療記録に関する情報の宝の山にアクセス可能である点が魅力的である。しかし、こういった情報は非常に取り扱いに注意を要するものであり、それらにアクセスする機器に優れた保護システムを用意するだけでなく、暗号化や多要素認証などのさらなる防壁、理にかなったネットワークのセグメンテーションや信頼できるインシデントからの復旧戦略をも準備していく必要がある。

侵入を阻止するためにセキュリティに注力

これらのケースを分析すると、公共および民間セクターの組織において、意識を向上し、情報セキュリティに関する教育を提供するために、試すべきことがまだまだ多数存在することが明らかになる。攻撃者は、開いている各種のゲートを通じて常にシステムへのアクセス手段を探しており、一度彼らが不法侵入に成功すると、情報を盗んだり、機器のセキュリティを侵害し不正なネットワークにデータをアップロードしてそのデータを自由自在に悪用するだけでなく、不適切な目的のために産業用装置の機能を変更することもある。

重要インフラ保護への注力を示す例として、米国の全米科学財団(NSF)がテキサス・クリスチャン大学におよそ2,500万円(25万ドル)を授与した事例が存在する。この資金は、サイバー攻撃から医療機器を保護するための効果的な手段を追求するための資金供給であった。同様に、欧州ネットワーク情報セキュリティ庁(ENISA)は2016年に「スマートな重要インフラの出現」に関し、業務を健全な形で拡張することに焦点を当ててきた。

大きなセキュリティの欠陥の不安を抱えつつも、これらのシステムを利用する産業は、全住民に必要不可欠なサービスを提供する。それらのインフラには、水処理、電力発電・配電、天然ガス供給設備、さらには医療記録データベース設備などが含まれる。それらのシステムは非常に取り扱いに注意を要する情報を扱っており、そのため、関連するリスク、そして、脆弱性やセキュリティ障害が与える影響は重大である。

これらのうちの多くの産業でも、セキュリティを改善する施策が幾つか施されてきてはいるものの、まだまだ十分なレベルの対策ができてはいない。対策が迅速かつ継続的になされなければ、この種のインフラに対する攻撃は2016年に増加することが考えられる。そのため、これらのセクターにおける情報セキュリティに関する活動は重要管理項目として注目を集め続けるであろう。

この記事をシェア

情報漏えいのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!