一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は2月28日、医療クラウドにおけるランサムウェア攻撃予防対策についてブログで発表した。
CSAジャパンのヘルス・インフォメーション・マネジメント・ワーキンググループ(HIM-WG)では2021年9月に、医療機関を標的にしたランサムウェア攻撃対策に関連して、医療クラウド上で拡大するランサムウェア脅威に対し、医療機関がNISTサイバーセキュリティフレームワークに準拠しながら取組むべきリスク低減策を紹介することを目的に「医療クラウドにおけるランサムウェア」を公開している。
「医療クラウドにおけるランサムウェア」では、ランサムウェアについて、ファイルを暗号化してアクセスできないようにするものと、デバイスを無能力化するものの2種類があり、ランサムウェア攻撃は、下記の7段階の共通パターンがあるとしている。
1.偵察:ターゲットのシステムにおける弱点を定める
2.配布と展開:マルウェアが配布され展開が始まる時で、持続性も設定される
3.搾取と感染:ターゲットはランサムウェアに感染するがファイルはまだ暗号化されない
4.スキャニングとバックアップの破棄・改ざん:重要なファイルをスキャンし、バックアップファイルやフォルダを暗号化して削除するか、バックアップの同期がバックアップを感染させるまで待つ
5.ファイルの暗号化:選択されたファイルを暗号化する
6.ユーザーへの通知とクリーンアップ:証拠を隠滅するためにシステムをクリーンアップ、犠牲者に通知を行い金額が上がる前に支払うための数日が与えられる
7.支払プロセス:支払は追跡を困難にするためにビットコインで実行される
医療機関は、セキュリティ実務家がリスク低減のためのコントロールを設定できるよう、ランサムウェアがシステムに侵入する方法を理解しておく必要があるとし、攻撃者のソーシャルまたはフィジカルのエンジニアリング手法として「フィッシング」「SMSフィッシング」「ボイスフィッシング」「ソーシャルメディア」「インスタントメッセージ」を挙げている。
またCSAジャパンでは、NISTの「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版」がフレームワーク・コアの機能(Function)として定義した「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」について、医療クラウドならではのマルウェア対策上の留意事項を紹介している。
