オランダの医療ITソリューション大手ChipSoftが、ランサムウェア攻撃の被害を受けた。同社の電子カルテ(EHR)プラットフォーム「HiX」はオランダ国内の多数の病院で採用されており、患者向けポータルやモバイルアプリを含む主要サービスが緊急停止を余儀なくされた。複数病院で業務への影響が確認されており、医療分野を狙ったサプライチェーン攻撃の典型的な事例として世界中の医療IT関係者に衝撃を与えている。

何が起きたのか

ChipSoftは電子カルテシステム「HiX」をオランダ国内の病院に広く提供している。今回の攻撃で同社は「不正アクセスの可能性」を記載した内部メモを医療機関向けに配布し、接続を一時切断するよう呼びかけた。

対応措置として以下のサービスが停止された:

  • Zorgportaal(患者向けポータル)
  • HiX Mobile(モバイルアプリ)
  • Zorgplatform(医療連携プラットフォーム)

オランダの医療サイバーセキュリティ対応チーム「Z-CERT」がランサムウェア感染を公式確認し、ChipSoftおよび関係医療機関と連携して影響範囲の特定と復旧支援にあたっている。Sint Jans Gasthuis、Laurentius、VieCuri、Flevo Hospitalなど複数の病院でシステム障害が報告されている。

なぜこれが重要か——医療ITは格好の標的

この種の攻撃が繰り返されるのには明確な理由がある。医療ITベンダーは単なるソフトウェア企業ではなく、複数の医療機関にまたがる情報ハブとして機能している。一点を突破するだけで、契約している全病院の患者データや業務システムへのアクセス経路を得られる可能性があるのだ。

先月も米国のCareCloudで同様のデータ侵害が発生し、3月にはCognizant傘下のTriZetto Provider Solutionsで340万人超の個人情報が流出した。医療IT分野でのサプライチェーン攻撃は、もはや「例外的な事件」ではなく常態化したリスクとして認識すべき段階に入っている。

実務への影響——日本の医療IT担当者が今すぐ確認すべきこと

日本においても、電子カルテや医療情報システムのクラウド化・SaaS化が急速に進んでいる。今回のChipSoft事案から学べる教訓は多い。

ベンダー接続のアクセス制御を見直す

ベンダー側システムとの接続は、常時開放しているケースが少なくない。障害発生時に「切断してください」と言われてから対応するのでは遅い。Just-In-Time(JIT)アクセスの概念を取り入れ、必要なときだけ接続を許可する仕組みを構築しておくことが重要だ。

影響範囲を事前に把握しておく

ベンダーのシステムが停止したとき、自組織のどの業務が止まるかを事前にマッピングしておく。BCP(事業継続計画)にSaaS・クラウドベンダーの障害シナリオを明示的に含めているか確認したい。

インシデント発生時の通知ルートを整備する

ChipSoftは内部メモを医療機関に送付したが、情報到達に時間がかかった病院もあった。契約ベンダーからのインシデント通知を受け取るための連絡経路と、それを受けた際の初動手順を文書化しておこう。

ネットワーク・認証・認可の3層を独立させる

ベンダー接続部分だけでも、ネットワーク層(セグメンテーション)、認証層(多要素認証)、認可層(最小権限)の3つを独立して制御できる構成にすることが、被害の横展開を防ぐ上で不可欠だ。

筆者の見解

医療分野でのサイバー攻撃報告が相次いでいる状況を見ていると、問題の本質は「個々の病院のセキュリティ意識」ではなく、SaaS依存のアーキテクチャにおけるリスク設計の甘さにあると感じる。

ベンダーを信頼すること自体は間違いではない。しかし「ベンダーが安全なら自分たちも安全」という前提は、現代の脅威モデルでは通用しない。ゼロトラストの考え方を突き詰めれば、「信頼できるネットワーク」も「信頼できるベンダー接続」も存在しない。すべての接続は疑ってかかり、最小限の権限で、必要な時間だけ許可する——その原則を医療IT分野でも本気で実装する時期が来ている。

日本の大規模医療機関では、レガシーなオンプレミス環境と新しいクラウドサービスが混在する複雑な構成が多い。その状況で「とりあえず動いているから大丈夫」という運用を続けるのは、リスクを積み上げているに等しい。今回のChipSoft事案を対岸の火事と見ずに、ベンダー接続の棚卸しと接続制御の見直しに着手するきっかけにしてほしい。

医療データは人命に直結する。それを預かる責任の重さに見合った防御をするのは、技術の問題である前に、姿勢の問題だと思う。

出典: この記事は Healthcare IT solutions provider ChipSoft hit by ransomware attack の内容をもとに、筆者の見解を加えて独自に執筆したものです。