最新動向/市場予測

米国保健福祉省が医療を標的にしたソーシャルエンジニアリングについて注意喚起

【第163号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2022年8月9日、米国保健福祉省(HHS)の保健医療サイバーセキュリティ調整センター(HC3)は、「医療におけるソーシャルエンジニアリングのインパクト」と題する文書を公表し、医療機関に対して注意を促しました。

目次

第163号 2022.9.6公開

HC3は、ソーシャルエンジニアリングについて、自分の利益のための人間心理の操作であるとしています。ソーシャルエンジニアは、スタッフを操作して、コンピューター、ルーターまたはWi-Fiへのアクセスを付与することが可能であり、保護対象保健情報(PHI)や個人識別情報(PII)を盗んだり、保健医療セクターに対する重大な脅威を示すマルウェアをインストールしたりすることができるとしています。

そして、ソーシャルエンジニアリングのタイプとして、以下のような攻撃手法を挙げて概説しています。

  • フィッシング
  • スピアフィッシング
  • ビッシング
  • コールバックフィッシング
  • ビジネス電子メール詐欺(BEC)
  • ベイティング
  • テールゲーティング
  • ディープフェイク
  • ソフトウェア
  • スミッシング
  • ホエーリング

さらに、医療の特徴として、特にスタッフが仲間の共同作業者を必ずしも知らない大規模な組織において、ソーシャルエンジニアリングを特定することが難しい点を指摘した上で、以下のような形で、医療従事者が狙われやすい背景・理由を挙げています。

(攻撃する側が医療従事者に対して)

  • (医療従事者は)無意識に信頼しあっている
  • (医療従事者は)人を助けたいという願望をもっている
  • (医療従事者は)知的に見られたいと思っている
  • (医療従事者は)トラブルに遭遇したくないと思っている
  • (医療従事者は)最速最短の手段を選びがちである


最後に、HC3は、ソーシャルエンジニアリングから医療組織を守るステップを、以下の通り推奨しています。

  • ベストプラクティスと合わせてバックアップを展開する
  • 規則的なソフトウェアアップデートのための構造化されたプログラムを持つ
  • 分別のある制限を水平展開する
  • 適切な資格情報に対するトラッキングを課す
  • 油断せず、注意深くなるように、スタッフをトレーニングする
  • すべての要求を確認するように、スタッフをトレーニングする
  • すべての部門がセキュリティに対して責任を持つように維持する
  • 物理的セキュリティを増強する
  • コンサルタントを雇う
  • リソースを活用する

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・COVID-19緊急対応下においても、エッセンシャルワーカーに該当する医療従事者や医療ITスタッフの多くは、医療施設内で勤務しているため、ソーシャルエンジニアリングを利用して院内システムへの侵入を図るケースが続発している。医療機関は、スタッフの心理的な隙や行動のミスにつけ込むソーシャルエンジニアリングに関する事例を収集・分析しながら、院内外のサプライヤー/パートナー企業と連携して啓発活動を強化する必要がある。
 

医療機器メーカー/医療品メーカー

・COVID-19緊急対応下で、リモートワーク環境から外部ネットワーク経由で医療機関内部のスタッフと情報のやりとりをするケースが増えているが、同時に、ソーシャルエンジニアリングの踏み台にされるリスクも増大している。ソーシャルエンジニアリングと高度なサイバー攻撃手法を組み合わせたケースも顕在化しているので、メーカーのみならず、医療機関や患者・家族、IT関連パートナー/サプライヤーなど、マルチステークホルダー型エコシステム全体で、情報セキュリティ啓発活動を実施しておく必要がある。
 

サプライヤー

・医療機関向けにICT関連製品・サービスを提供するサプライヤーは、サイバーサプライチェーン・リスクマネジメントの観点から、ソーシャルエンジニアリングの踏み台にされる可能性がある業務プロセスの棚卸を行って、ソーシャルエンジニアリング被害が発生した場合のインシデント対応に係るポリシー/手順の見直しや、現時点で導入可能な検知・予防策を検討すべきである。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

目次

お役に立ちましたか?
メディア掲載記事(サイバーセキュリティ)

米国NISTがHIPAAセキュリティ規則導入ガイドライン改定第2版草案を公表

【第162号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース