医師による、病院へのランサムウェア攻撃が地域医療に与える影響について考察した講演が 2023 年の CODE BLUE で行われた。登壇したのはクリスチャン・ダメフとジェフリー・タリー。2 名ともにカリフォルニア大学サンディエゴ病院で働く医師であり、それぞれ「救急医療ドクター・メディカルディレクター」「小児科医・麻酔科医」の肩書も持つ。
●医療とサイバーセキュリティの関係
医師の主な仕事は患者と接すること。そして必要な処置とケアを行うこと。ジェフリー・タリー氏は 2 枚の写真を見せながら説明した。
「ひとつは大学に入ってすぐに見せられた写真。19 世紀の絵画で、タイトルはドクター(The Doctor)となっている。ベッドに横たわる患者のわきに医師がいる。医師は患者の状態を憂い、観察し、熟慮している。これは医師と患者の関係の本質を表していると思う。もう 1 枚の写真は現在の病室だ。真ん中に患者がいるのは変わらない。しかし、写真の左側には多数の輸液ポンプが見える。治療や生命維持に必要な薬品を送り込む装置だ。現在、これらの機器は Wi-Fi 接続され監視制御されている。右側には人工呼吸器が見える。これもただ酸素を供給するだけでなく非常に複雑なソフトウェアによって精密な制御がなされている」
ジェフの話を受け、クリスチャン・ダメフは医療機器のリスクについて話を向ける。
「このような医療機器に関するサイバーリスクの話は 20 年ほど前からある。よく例示されるのは心臓ペースメーカーだ。この機器は患者の体内に埋め込まれ、心拍を維持する。多くの機器が外部から無線で制御を変えられる。セキュリティカンファレンスでは古くからペースメーカーの脆弱性が指摘されており、ある PoC では心拍数を 200 まで高めることが可能だった。もうひとつの典型例はインスリンポンプだ。インスリンの投与を自動的に行う機器だが、これもハッキングによって過剰投与することができる」
高度な医療機器は多くの人を救う存在ではあるものの、テクノロジーの常としてそれは福音をもたらすだけではなく、サイバー攻撃というリスクから逃れられない存在でもある。攻撃者はスマートフォンも医療機器も区別はしない。ランサムウェアによる攻撃は拡大を続けている。
医療分野でのランサムウェア攻撃の被害は 2017 年の WannaCry が有名だ。英国の病院が攻撃を受け、患者の受け入れができなくなった。類似の被害はその後も起きている。「米国に限らず非常に頭の痛い問題だ(ジェフリー・タリー)」
●医療機関のランサムウェア対策は間違っていないか?
ランサムウェアの脅威が病院や医療機関にまで及んでいるが、この状況について世論は大きく 2 つにわかれているとクリスチャン・ダメフはいう。
「サイバー攻撃で人命が損なわれるからこの世の終わりだ、という声と、それは大げさでテクノロジーはそれ以上の人命を救っている、という意見だ。あなたはどちらの意見により与するだろうか。または、真実はどちらだろうか」
多くの人がそのジャンルの識者や専門家の意見やネットの情報を参考に判断するかもしれない。だが、ジェフリー・タリーは言う。
「中世の医学では、ヒルに患者の血を吸わせたり静脈を切ったりする瀉血や解毒剤として水銀を飲ませる治療が人気だった。衛生のための治療前の手洗い消毒さえ、自分が汚いというのか? と否定する医師が普通だった。消毒はいまでは当たり前のことだが、当時は相当な物議をかもした。病院のランサムウェア対策にも同じことがいえないだろうか」
たとえ専門家といえど、細菌やウイルスの存在や感染のメカニズムが見えていなければ、手洗いさえ否定する。病院セキュリティでも重要なのは、データに裏付けられた科学的手法だ。ネットの情報、ベンダーの情報、専門家の情報だけに頼ることは、瀉血治療と変わらない危険性があるという。
