医療業界のランサムウェアの現状2024

このコラムは、ソフォスが北米/中南米、EMEA、アジア太平洋地域の計14カ国で、従業員数100～5,000人の企業のIT/サイバーセキュリティ部門担当者3,000人(内、うち医療業界が 233人)を対象に、ベンダー不問で2023年1月から3月にかけて実施した調査を基に作成したレポートの概要をまとめたものです。詳しくは本ページ末尾から資料をダウンロードしてご覧ください。

出典：ソフォスホワイトペーパー「医療業界のランサムウェアの現状 2024年版」

医療業界におけるランサムウェア攻撃の被害率

過去1年間にランサムウェア攻撃により被害があった医療機関が、2023年の60%から2024年は67%に増加しています。2021年の34%と比較すると、ほぼ 2 倍に達しています。

2024年の全業界におけるランサムウェア攻撃を受けた組織は59％で、過去2年間（2022年66%、2023年66%）から低下しています。一方、医療機関に対するランサムウェア攻撃は2023年の60%より2024年は67%と増加しています。ランサムウェアは、今日の医療業界が直面している最大のサイバーリスクといえるでしょう。

医療業界におけるランサムウェア攻撃の根本原因

2024年の医療機関へのランサムウェア攻撃の最も一般的な侵入経路は、脆弱性の悪用と認証情報の侵害でいずれも34%であり、次に多かったのは悪意のあるメールの19% でした。全業界を見るとランサムウェア攻撃の一般的な根本原因として、2年連続で脆弱性の悪用がトップで32%となり、認証情報の侵害が29%で2位でした。

医療業界におけるデータの復旧率

データが暗号化された98%の医療機関がデータを取り戻しています。また、29%の医療機関がデータを復旧するためにバックアップを活用し、53%の医療機関がデータを取り戻すために身代金を支払っています。これに対して、全業界を見ると68%がバックアップを使用し、56%が身代金を支払ってデータを復元しています。過去3年間、医療機関がバックアップを使用してデータを復元する割合は2024年と2023年が73%、2022年は72%でほぼ変わっていません。しかし、医療機関が身代金を支払う傾向は、2022年の61%よりは低いものの、2023年の42%と比較すると大幅に増加しました。

身代金支払い額

2024年の調査で昨年医療機関が要求された身代金の平均金額は490万ドル（中央値は400万ドル）でした。これは全業界で2番目に高い金額です。そして今回の調査で注目すべきことは医療機関が要求されている身代金の65%が100万ドル以上であり、35%が500万ドルに達していることです。一方、身代金を支払った医療機関の回答者99人が、実際に支払った金額の平均値は440万ドル（中央値は150 万ドル）でした。身代金の支払額は業界によって大きく異なります。支払った身代金額の中央値が最も低かったのはIT、通信、テクノロジー業界が30万ドルであり、流通/ 運輸業界が次に低くて44万ドルでした。最も高かったのは、初等中等教育機関と中央政府/ 連邦政府の両方であり、中央値で 660万ドルの身代金を支払っています。

復旧コスト

身代金の支払いは復旧コストの1つにすぎません。医療業界の組織の報告によると、支払った身代金を除いて、2024年はランサムウェア攻撃からの平均復旧コストは257万ドルであり、2023年の220万ドルから増加しました。この業界の復旧コストは、平均費用が 127万ドルだった 2021年から倍増しています。
一方、全業界の平均復旧コストは2024年273万ドル、2023年は182万ドルでした。

※復旧コスト ( ダウンタイム、人件費、デバイスのコスト、ネットワークコスト、逸失利益など)
※2022 年および 2021 年の質問には、復旧コストに「支払った身代金」も含まれています。

復旧に掛った時間

ランサムウェア攻撃からの復旧時間を見ると、医療業では、1 週間以内に完全に復旧できたのは22%であり、2023年の47%および 2022年の54%から大幅に減少しました。また、復旧までに1か月以上かかった医療機関は37%であり、2023年の28%よりも増加しました。

まとめ

ランサムウェアは、世界各国のあらゆる規模の医療業界の組織にとって大きな脅威になっています。ランサムウェア攻撃は全業界では低下していますが、医療業界では昨年増加しました。サイバー攻撃者が進化し続ける中で、医療機関も自社のサイバー攻撃対策を攻撃の進化に合わせていかなければなりません。

医療業界におけるランサムウェア攻撃の3分の1は、パッチが適用されていない脆弱性が悪用されています。攻撃対象領域を適切に管理し、リスクに応じて適用するパッチの優先順位を付けることが重要です。
認証情報の不正使用を制限するために多要素認証 (MFA)を使用することも、優先すべき対策です。エンドポイントやサーバーは、ランサムウェアの主要な攻撃対象であるため、悪意のある暗号化を阻止してロールバックすることができる専用のランサムウェア対策を導入するなど、エンドポイントの防御を徹底する必要があります。

ソフォスエンドポイントプロテクション（Sophos Intercept X）には、業界で最も堅牢なランサムウェア対策保護機能が搭載されています。悪意のある暗号化の兆候がないかファイルの内容を常に監視し、ローカルで実行されている場合や、侵害されたリモートデバイスで実行されている場合でも、問題のあるプロセスをブロックします。ソフォス独自のロールバックメカニズムは、攻撃者が頻繁に標的とするボリュームシャドウコピーサービス（VSS）に依存することなく、暗号化されたファイルを元の状態に戻すことができます。また、攻撃を早期の段階で阻止できれば、影響も軽減することができます。バックアップを侵害されたり、データを暗号化されたりする前に、自社のネットワークに侵入したサイバー攻撃者を検出して、無力化することで成果を上げることができます。さらに、インシデント対応計画を策定し、テストしておれば、大規模な攻撃を受けた場合でも、攻撃の影響を最小限に留めることができます。バックアップからデータを復元する訓練を定期的に実施しインシデントに備えてください。

ランサムウェアに強い！

医療機関向けセキュリティソリューション
AXIS総合セキュリティパックのご紹介

AI搭載UTMで
ネットワーク保護

EDRを進化させた
XDRで脅威を検知

常時、専門家が
脅威を対処

幅広くサイバー攻撃
による損害を補償

サイバーセキュリティ
お助け隊認定サービス

「AXIS総合セキュリティパック」は、Sophosの最新製品を採用した次世代型セキュリティシステム（Sophos Firewall XGS、Sophos Intercept X )に24時間年中無休のマネージメントサービス（Sophos MDR）さらに導入コンサルティングサービスとサイバー保険をワンパッケージにした最高レベルの総合セキュリティサービスです。

ソフォスはランサムウェアに関する状況を毎年調査し、ランサムウェア攻撃の影響や対策についての最新情報を提供しています。