メインコンテンツへスキップ
AMPL
レッスン 8 / 10|19分で読めます

セキュリティとサイバーセキュリティ

WannaCryのNHS被害、敵対的攻撃、医療AIのセキュリティ脅威とベストプラクティス、規制要件を学びます

セキュリティとサイバーセキュリティ

はじめに — 手術が止まった日

2017年5月12日、ランサムウェアWannaCryが世界中に拡散しました。英国のNHS(国民保健サービス)では80以上の病院と施設が影響を受け、手術のキャンセル、救急車の迂回、患者記録へのアクセス不能という事態に陥りました。

被害の原因はシンプルでした。多くのNHS施設がサポートが終了したWindows XPを使い続けており、既知の脆弱性に対するパッチが適用されていなかったのです。Microsoftは攻撃の2ヶ月前にパッチを公開していましたが、多くの医療機関では更新が行われていませんでした。

NHSの被害額は推定9,200万ポンド(約140億円)。しかし、金銭的損害以上に深刻だったのは、患者の安全が直接脅かされたことです。医療AIが普及する時代、AIシステムへのサイバー攻撃は患者の生命に直結します。

Investigation: WannaCry cyber attack and the NHS

英国会計検査院によるWannaCry事件の公式調査報告。NHS被害の全容と原因分析

ニュースNational Audit Office (UK)

医療AIのセキュリティ脅威

従来のサイバー脅威

脅威の種類内容医療AIへの影響
データ漏洩患者データへの不正アクセス・流出学習データの流出、プライバシー侵害
ランサムウェアデータの暗号化・身代金要求AI診断システムの停止、診療の中断
内部脅威従業員による不正アクセス学習データの改ざん、モデルの漏洩
サプライチェーン攻撃第三者ベンダー経由の侵害AIライブラリの脆弱性を経由した攻撃

AI特有のセキュリティ脅威

従来のサイバー攻撃に加え、AIシステムには固有の攻撃手法が存在します。

Case Study/ 国際

医療画像への敵対的攻撃 — 研究事例

背景: 複数の研究グループが、医療画像に人間には知覚できない微小なノイズを加えることで、AIの診断を意図的に誤らせることができることを実証しています。

実証された攻撃例:

  • 良性の皮膚病変画像にノイズを加え、AIに悪性と誤診させる
  • 胸部X線画像を改変し、AIに肺炎を見逃させる
  • 網膜画像の微小な変更で、糖尿病網膜症の重症度判定を操作する

なぜ危険か: これらのノイズは人間の目では認識できないため、画像が改ざんされたことに気づかない。悪意のある攻撃者が画像にノイズを注入すれば、AIの診断を操作できる可能性がある。

対策: Adversarial Training(敵対的学習)、入力の検証・前処理、モデルのアンサンブル

Adversarial attacks on medical machine learning

医療機械学習への敵対的攻撃の脅威と対策を包括的に論じた総説論文

論文Science

AIに特有の4つの攻撃手法

Adversarial Attacks(敵対的攻撃)

入力データに微小な摂動を加え、AIを誤った判断に導く攻撃です。

対策:

  • Adversarial Training: 攻撃例を学習データに含めてモデルを強化
  • 入力の検証: 統計的手法で異常な入力パターンを検出
  • モデルのアンサンブル: 複数のモデルの多数決で判断し、単一モデルへの攻撃の影響を緩和

Data Poisoning(データ汚染)

AIの学習データに悪意のあるデータを混入させ、モデルの判断を系統的に歪める攻撃です。

データ汚染の特徴

敵対的攻撃が「推論時」の攻撃であるのに対し、データ汚染は「学習時」の攻撃です。汚染されたデータで学習したモデルは、特定の条件下で系統的に誤った判断を下すようになります。例えば、特定のパターンが含まれる画像を常に「正常」と判定するバックドアを仕込むことが可能です。

対策: データの品質検証、異常検出アルゴリズム、信頼できるデータソースの使用

Model Inversion Attacks(モデル反転攻撃)

AIモデルの出力から、学習に使用された個人の医療データを逆算的に復元する攻撃です。

対策: 差分プライバシー、モデルへのアクセス制限

Model Extraction(モデル抽出)

AIモデルにクエリを繰り返し送信し、モデルの構造やパラメータを推測・複製する攻撃です。

対策: クエリ回数の制限、応答のランダム化、ウォーターマーキング

サイバーセキュリティのベストプラクティス

多層防御(Defense in Depth)

単一の防御策に依存せず、複数のレイヤーでセキュリティを確保します:

データレイヤー:

  • 保存時の暗号化(AES-256等)
  • 転送時の暗号化(TLS 1.3)
  • データの分類とアクセス制御

アクセス制御レイヤー:

  • 役割ベースのアクセス制御(RBAC)
  • 多要素認証(MFA)
  • 最小権限の原則

監視レイヤー:

  • すべてのアクセスと操作の監査ログ
  • リアルタイムの異常検出(SIEM)
  • インシデント対応計画の策定と訓練

人的レイヤー:

  • フィッシング攻撃の識別訓練
  • セキュリティ意識向上プログラム
  • インシデント報告手順の周知

実際の事件から学ぶ

Case Study/ 米国

Change Healthcare ランサムウェア攻撃

概要: 2024年2月、米国最大の医療保険請求処理会社Change Healthcare(UnitedHealth Group傘下)がランサムウェア攻撃を受け、全米の医療機関の保険請求処理が数週間にわたり停止しました。

影響:

  • 全米の病院・薬局・診療所で保険請求処理が停止
  • 多くの医療機関が資金繰りに困窮
  • 約1億人分の個人医療データが流出した可能性
  • UnitedHealth Groupは22億ドル以上の損害を計上

原因: 多要素認証(MFA)が設定されていないリモートアクセスポイントが侵入口に

教訓: サプライチェーンの脆弱性は、直接攻撃よりも広範な影響を及ぼしうる。単一障害点の排除とMFAの徹底が不可欠。

Case Study/ 日本

半田病院 — 地方病院を襲ったランサムウェア攻撃

概要: 2021年10月31日午前0時30分頃、徳島県つるぎ町立半田病院がランサムウェア「LockBit 2.0」に感染。病院内のプリンターから犯行声明が一斉に印刷されるという衝撃的な発覚でした。

被害:

  • 8万5千人分の電子カルテが閲覧不能に
  • 新規患者の受け入れを停止
  • 会計システム等も連鎖的に停止し、診療報酬の請求業務が中断
  • 約2ヶ月間、紙カルテでの診療を余儀なくされた

復旧: 2022年1月に電子カルテシステムが復旧。病院は公式には身代金を支払っていないが、データ復旧を委託した業者が犯罪者集団に300万円を支払い復号鍵を入手。復旧業者への支払い総額は7,000万円に上った。

教訓: VPN機器の脆弱性が侵入口とされる。地方の中小病院はIT人材・予算が限られるが、サイバー攻撃は規模を問わず標的にする。

Case Study/ 日本

大阪急性期・総合医療センター — サプライチェーン経由のランサムウェア攻撃

概要: 2022年10月31日、大阪急性期・総合医療センター(865床の大規模急性期病院)がランサムウェア「Elbie」に感染。電子カルテを含む基幹システムが使用不能となり、救急診療・外来診療・予定手術に大きな支障が生じました。

侵入経路: 患者に食事を提供する外部の給食業者のサーバーが最初にマルウェアに感染。そこからVPN接続を経由して病院のサーバーに侵入。典型的なサプライチェーン攻撃

致命的な脆弱性: 複数のサーバーで共通パスワードを使用していたため、1台のサーバーが侵害されると芋づる式に他のサーバーも暗号化された。

復旧:

  • 基幹システムの再開: 障害発生後43日目(2022年12月12日)
  • 全診療システムの復旧: 障害発生後73日目(2023年1月11日)

和解: 2024年にNECなど3社から解決金10億円での和解が成立。

WannaCry(2017)vs Change Healthcare(2024)

WannaCry(2017・英国): パッチ未適用のOSが標的。個別の病院が影響。対策: パッチ管理の徹底。

半田病院(2021・日本): VPN機器の脆弱性から侵入。地方の中小病院が標的。復旧に2ヶ月、費用7,000万円。対策: VPN等の境界機器の更新。

大阪急性期・総合医療センター(2022・日本): 給食業者経由のサプライチェーン攻撃。共通パスワードで被害拡大。復旧に73日、和解金10億円。対策: サプライチェーンリスク管理、パスワードの個別管理。

Change Healthcare(2024・米国): MFA未設定のリモートアクセスポイントが侵入口。全米の医療システムが影響。対策: MFAの徹底、単一障害点の排除。

→ 攻撃の標的が「個別の施設」から「サプライチェーン」「医療インフラの中核」へ拡大。日本でも医療機関へのランサムウェア攻撃は深刻な脅威。

規制要件

HIPAA セキュリティルール

  • アクセス制御、暗号化、監査ログ、インシデント対応の実装義務
  • 違反時: 最大年間150万ドルの罰金
  • BAA(Business Associate Agreement)によるベンダーのセキュリティ義務

GDPR セキュリティ要件

  • データ最小化、適切なセキュリティ措置の実装
  • データ侵害の72時間以内の通知義務
  • 違反時: 最大**年間売上高の4%**または2,000万ユーロの罰金

FDA Cybersecurity Guidance

Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

FDAの医療機器サイバーセキュリティガイダンス。Security by Design、脆弱性管理、SBOM(ソフトウェア部品表)の要件

ガイドラインFDA

FDAは2023年のガイダンスで以下を要求:

  • Security by Design: 設計段階からセキュリティを組み込む
  • SBOM(Software Bill of Materials): 使用しているソフトウェアコンポーネントの一覧を提出
  • 脆弱性の監視とパッチ提供: 市販後の脆弱性情報の監視と適時のパッチ提供
  • Coordinated Vulnerability Disclosure: 脆弱性の発見時の調整された情報開示

考えてみよう

あなたの施設のセキュリティ体制について:

  • **多要素認証(MFA)**は導入されていますか?
  • OSやソフトウェアのパッチは最新の状態ですか?
  • フィッシングメール訓練は定期的に実施されていますか?
  • AI医療機器を含むインシデント対応計画は策定されていますか?

Change Healthcare事件の侵入口は「MFAが設定されていないリモートアクセスポイント」でした。基本的な対策の不備が壊滅的な被害につながります。

将来の展望

ゼロトラストアーキテクチャ

信頼しない、常に検証する」を原則とするセキュリティモデルです。ネットワーク内部であっても、すべてのアクセスを検証し、最小限の権限のみを付与します。

AIによるサイバーセキュリティ

AIをセキュリティの防御にも活用:

  • 異常なアクセスパターンのリアルタイム検出
  • 脅威インテリジェンスの自動分析
  • インシデント対応の自動化・高速化

耐量子暗号

量子コンピュータが実用化された場合、現在の暗号アルゴリズム(RSA等)が破られるリスクがあります。医療データの長期保護のために、量子耐性のある暗号技術への移行が進んでいます。

まとめ

WannaCryは「パッチ管理」の重要性を、Change Healthcareは「サプライチェーンリスク」と「MFA」の重要性を突きつけました。医療AIが普及するにつれ、敵対的攻撃やデータ汚染といったAI特有の脅威も加わり、セキュリティの複雑さは増しています。

多層防御、規制要件の遵守、そしてセキュリティを組織文化に組み込むことが、患者の安全とプライバシーを守る基盤です。「基本的な対策の不備が壊滅的な被害につながる」— Change Healthcare事件が教えるこのシンプルな事実を、常に肝に銘じる必要があります。

次のレッスンでは、医療AIの社会的影響と未来について学びます。

明日のアクション

自施設の医療情報システムのセキュリティ体制を確認しましょう。多要素認証(MFA)が導入されているか、OSやソフトウェアのパッチが最新か、フィッシングメール訓練が定期的に実施されているかの3点をチェックし、不足があれば情報セキュリティ担当者に報告してください。