医療/医療保険業界の脅威情報

医療/医療保険業界を狙うセキュリティ脅威

医療/医療保険業界の組織を狙うセキュリティ脅威は以下のとおりです。
  • APT攻撃(Advanced Persistent Threat:高度で持続的な標的型攻撃)1グループは、国内産業への利益提供や医療政策に関する戦略的目標の達成に寄与する知的財産、および専有情報の窃取しようとします。
  • APT攻撃グループの中には、標的を絞った攻撃の効率化や、活動の資金源となっている政府による情報収集の支援を目的として、患者の個人情報(PII)を窃取するグループも存在します。
  • 組織化されたサイバー犯罪グループは、個人を特定可能な情報や財務データを入手して、金銭的利益を得ようとします。
  • ハクティビストは、政治的信条、またはイデオロギー的なアピールや、目的の組織の活動に抗議するため、Webサイトへのアクセス妨害、またはWebページの改ざんを試みます。
医療業界の脅威情報
今後の脅威動向とその影響

医療/医療保険業界は、大きな見返りが期待できる研究や製造に関するデータや個人の特定を可能にする情報といった、機密性の高いデータにアクセスを試みるサイバー犯罪者に、今後も狙われると見られます。FireEyeでは、次に示す各要因がこの業界を狙う攻撃の引き金となると予測しています。

  • 医療健康記録のデジタル化に向けた動きや医療機器のネットワーク化推進は、組織内の攻撃可能範囲拡大につながり、業界はより高いリスクにさらされると予測されます。
  • テクノロジーや医療における革新は、APT攻撃グループによる攻撃に拍車を掛けると見られます。グループは、関連する国有企業や国内企業への利益提供を目的に、知的財産や専有情報の入手を試みます。
  • 医療関連のサービスや製品の改善によって医療費削減を目指す国家の取り組みも、APT攻撃の増加につながると十分考えられます。攻撃グループは、活動の資金源となっている政府の意向に沿って、政策実現に寄与する情報入手を図ります。
  • さらに、医療技術や医薬品の治験プロセス、発覚した倫理違反などの問題関与も攻撃の引き金となると予測されます。このような問題への注意を喚起し、当事者組織の評価を貶めようと試みるハクティビストによる攻撃が増加すると見込まれます。
FireEyeは、少なくとも13の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • バイオ医薬品およびバイオ治療製品製造
  • 医療用電気機器、電気治療装置、およびX線医療機器製造
  • 医療保険
  • ヘルスケア・ソフトウェア
  • ヘルスケア製品製造
  • 病院
  • 医療機器および医療用品製造
  • 製薬
医療関連団体から窃取されたデータ
  • ビジネス/戦略プランおよび目標
  • 人事関連文書
  • 法務関連文書
  • ネットワーク・インフラの関連文書
  • 患者の個人情報

事例:医療保険会社を狙ったAPT攻撃

ある医療保険会社におけるセキュリティ侵害をFireEyeが調査していたところ、攻撃者が保険の加入者数十人に対し、さまざまな手口を組み合わせたスピア・フィッシング攻撃を仕掛け、同社のネットワーク内のシステムにアクセスしていた事実が発覚しました。多くのフィッシング・メールと同様に、そのメッセージは正規に見せかけた不正なリンクをクリックするようユーザーを誘導していました。リンクをクリックすると悪意のあるバックドアがダウンロードされ、攻撃者がパスワードを収集して同社のネットワーク内を移動できるようになります。最終的に、多くの加入者のPIIが不正アクセスされて流出しました。


医療業界を狙うセキュリティ脅威

マルウェア上位5種

FireEyeが実施した医療/医療保険業界のセキュリティ侵害調査において、最も多く検知された標的型マルウェア・ファミリーは次のとおりです。

WITCHCOVEN サイト訪問者のオペレーティング・システムやブラウザ、アプリケーションに関する情報の把握を目的としてプロファイリングを行うスクリプトです。FireEyeでは、このようなスクリプトを利用して、APT攻撃グループがフットプリンティング(訪問者のコンピュータ・システムや所属組織のプロファイリングの際に行われる情報収集)を実行すると見ています。
XtremeRAT 一般に入手可能なリモート・アクセス・ツール(RAT)です。ファイルのアップロードとダウンロード、Windowsレジストリの操作、プロセスとサービスの操作、音声や動画などのデータのキャプチャを行います。
ChinaChopper 小規模なWebシェルで、認証用の単純なパスワードによって情報システムへの不正アクセスを可能にするほか、HTTP POSTコマンド内でMicrosoft .NETコードを実行する能力を備えています。
Gh0stRat 一般に入手可能なソースコードに由来するRATです。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
PingBed ファイルのダウンロードと実行、プロセスの停止、コマンド・ラインの実行、結果の送信などを行うトロイの木馬です。ソーシャル・エンジニアリングを利用してzipまたはrar形式のファイルを開くようユーザーを促す、このファミリーのサンプルがいくつか確認されています。ファイル名とアイコンから、読み込み可能なファイルがわかります。

クライムウェア上位5種

FireEyeの脆弱性データと動的に共有される脅威情報より明らかになった、医療/医療保険業界で最も一般的に検知されるクライムウェアの亜種は次のとおりです。

Conficker リムーバブル・ドライブやネットワーク共有に潜む脆弱性を悪用して拡散するワームです。セキュリティ設定の無効化、バックアップ・ファイルの削除、
システムの復元ポイントのリセットを行います。
POWESSERE (別名Poweliks)Windowsレジストリ内に潜伏する「ファイルレス」なマルウェアです。多くの場合POWESSEREは、カナダや米国の郵便公社、またはMicrosoft Officeに対するエクスプロイトに関するフィッシング・メールを介してシステムに到達します。感染システム上にファイルを作成せず、Windowsレジストリ内に潜伏します。POWESSEREの実行は段階的で、Autorunキーに格納されているエンコードされたJavaScriptが皮切りとなります。インストールの後は、メモリに常駐するダイナミック・リンク・ライブラリによって基本的なシステム情報を収集し、場合によってはさらなるマルウェアをダウンロードするおそれがあります。
Jenxcus (別名njw0rm、njworm)一般的なツールnjRATの進化形で、リムーバブル・ドライブ経由での拡散や認証情報の窃取などの新たな特徴を備えています。Eメール内の不正なリンクや侵害サイトにおけるドライブバイ・ダウンロードを介して拡散する場合が多いJenxcusは、RATの通常の機能に加え、USBドライブなどのリムーバブル・ドライブ経由での新たなシステムへの拡散や、認証情報の窃取などの追加機能が組み込まれています。
HOUDINI (別名H-Worm)HTTPを使用して、オペレーティング・システムやホストおよびユーザー名など、感染システムに関する情報をやり取りするVBSベースのRATです。カスタムのBase64エンコードを含む複数の難読化技術を使用して、パックされているVBSファイルもあります。コマンド・ラインの実行、プログラムのダウンロードと実行、データの窃取などのいくつかのコマンドをサポートしています。
Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。