ISR、米国最大の医療決済企業を襲ったランサムウェア攻撃について説明 フィッシング耐性のあるMFA導入が必要不可欠に
米国の医療決済サービス会社Change Healthcareを襲ったランサムウェア攻撃の詳細と影響についての説明。
セキュリティ対策として、フィッシング耐性のあるMFAの重要性やセキュア・バイ・デフォルトの概念について。
ISRが提供するアイデンティティ管理プラットフォームとセキュリティキーを用いたMFA認証の事例紹介。
株式会社インターナショナルシステムリサーチ(以下、ISR)は18日、「人々の生活を脅かすサイバー攻撃から身を守るには?~アメリカの3人に1人が影響、米国の医療業界を襲ったランサムウェア攻撃、セキュア・バイ・デフォルトの重要性が浮き彫りに~」と題した説明会を開催した。今回の説明会では、今年2月に米国の医療決済サービス会社Change Healthcareを襲ったランサムウェア攻撃の概要と、その原因から考える今後必要とされるセキュリティ対策について紹介した。
今年2月12日、米国最大の医療請求処理企業であるChange Healthcareを狙ったランサムウェア攻撃事件が発生した。この事件では、Change Healthcareのネットワーク内に攻撃者が侵入し、9日間システム内にとどまったのち、データを盗みランサムウェア攻撃を仕掛けた。攻撃は、BlackCat/ALPHVランサムウェアグループとされており、攻撃を実行していたのはアフィリエイトであるRansomHubグループによるものだったという。
攻撃者の侵入方法としては、漏えいした認証情報を使用して、デスクトップへのリモートアクセスを可能にするアプリケーション「Change Healthcare Citrixポータル」にリモートアクセスを行い、ネットワークに侵入した。同社のポリシーとして外部向けシステムにはすべてMFAを有効にすることなっていたが、実はこのポータルにはMFAが導入されていなかったことが、今年5月に行われた監視調査小委員会で明らかになっている。
Change Healthcareは、このランサムウェア攻撃によってサービス停止に追い込まれ、請求処理に大きな遅延が発生。医者や病院は資金繰りに深刻な影響を受け、80%の医療機関が未払い請求による収益の損失、55%の医師が経費を賄うために個人資金を使用したことがわかっている。また、患者の治療にも支障をきたし、具体的には「薬を入手できず、症状が悪化した」「検査の注文や結果にアクセスができなかった」などの事態が発生したという。
親会社のUnited Healthグループでは、混乱を収束させるために、2200万ドル相当の身代金を支払い、システムアクセスの復旧を行ったにも関わらず、何百万もの米国人の機密医療情報がダークウェブに流出した可能性があることが判明。同グループは、今回のランサムウェア攻撃により、2024年第1四半期に8億7200万ドルの損害を受けたと発表している。さらに、今後の対応を含めると2024年全体で損害額は13億5000万ドルから16億ドルにのぼると予想されている。
Change Healthcareへのランサムウェア攻撃事件を踏まえて、ISR 代表取締役のメンデス・ラウル氏は、「ハイエンドのサーバーを導入しても、高いセキュリティの認証システムがなければ、ランサムウェア攻撃の被害を受けるリスクがあることが浮き彫りになった。今後、高セキュリティが必要な企業の経営者やシステム管理者は、フィッシング耐性のあるMFAをデフォルトで導入することが必須になると考えている」と指摘する。
フィッシング耐性のあるMFAの代表としてはパスキーを挙げ、「パスキー認証では、正規のドメインと悪意のあるドメインを区別できるため、攻撃者が認証情報やクッキーを入手してセッションを再現することを防止できる」としている。
実際に米国では、フィッシング耐性のあるMFAを導入する動きが加速しており、ニュース雑誌「TIME」は、2024年最も影響力のある企業100社の一つとして、FIDO対応の認証器「YubiKey」を提供するYubicoを選出している。また、サイバーセキュリティ・インフラセキュリティ庁(CISA)では、ソフトウェアやハードウェアに最初からセキュリティ機能を搭載しておくべきとする「セキュア・バイ・デフォルト」を提唱しており、この考えは世界各国へと広がりつつあるという。
そして、今後求められるフィッシング耐性のあるMFAの導入事例として、ISRが提供するアイデンティティ管理プラットフォーム「CloudGate UNO」を利用し、デバイス固定パスキーの「YubiKey」のみを登録することで強固なクラウド認証を実現したケースを紹介。パスキーの登録方法や「YubiKey」によるログイン方法などを、デモを交えて説明した。
最後にラウル氏は、「当社では、セキュリティファーストの考えのもと、5年前からFIDO2の仕組みを使ったCloudGateサービスを提供してきた。今後、医療関係など最も高いセキュリティを必要とする企業に向けては、ハードウェアのセキュリティキーを用いたデバイス固定パスキーによるMFA認証を推奨していく。米国に比べて、まだ日本企業の意識は低い状況だが、国内でもセキュア・バイ・デフォルトの意識を高めていきたい」との考えを示した。
