2024.08.09 お役立ち情報
〇医療機関等におけるサイバーセキュリティ対策の取組みについて(周知依頼)(8/1)
厚生労働省は8月1日付で「医療機関等におけるサイバーセキュリティ対策の取組みについて(周知依頼)」の事務連絡を行った。
医療機関等をターゲットにしたサイバー攻撃が後を絶たず、その脅威が高まっている状況を踏まえ、病院団体に周知した。
事務連絡では、VPN(仮想専用線)装置等のIDやパスワードの漏えいはシステムへの侵入に直結し、医療機関などにとって重大なリスクになると指摘。実際に攻撃を受けた医療機関では「パスワードが容易に推測できる」「4桁と短かい」といったケースが確認されていることから、被害を防止するためには「強固なID・パスワード設定の徹底が必要」と強調。
また、複数の機器や外部サービスで同じパスワードを設定しないことも重要だとしたほか、パスワードの使い回しは漏えいリスクを高めて一度の漏えいによって被害範囲が拡大する可能性があるため「非常に危険」だとしている。
また、医療機関等のネットワークについて通信網を正確に把握し、適切に対策が取られているか確認する必要があると強調。ネットワークが閉域網と認識されている場合でも、医療機関などが把握できていないVPN装置などの外部接続点が設置されているケースがあるため、関係する事業者と協力してネットワーク接続点を確認し、アクセス制御が適切に行われているかを確認するよう促している。
さらに、サイバー攻撃の被害を受けた医療機関ではネットワーク機器のバージョンアップやパッチ適用、ファームウェアのアップデートが適切に行われていない事例が多く確認されていると指摘した。また、更新作業を行うまでの間にサイバー攻撃の標的となる可能性があり、対象の機器に深刻な脆弱性がある場合にはシステムへの侵入等に悪用される恐れがあると説明。そのため、脆弱性情報の確認や更新が適切な頻度で行われているか、事業者と連携して改めてチェックするよう促している。