GemMed | データが拓く新時代医療 > 医療提供体制改革 > マイクロソフト社のソフトウェアに脆弱性発見、すぐさまセキュリティ更新プログラム等の適用を—NISC

マイクロソフト社のソフトウェアに脆弱性発見、すぐさまセキュリティ更新プログラム等の適用を—NISC

2024.2.22.（木）

マイクロソフト社のソフトウェアに脆弱性が発見され、放置すればデータの改ざん・削除・漏洩などの恐れがある。ただちにセキュリティ更新プログラム等を適用する必要がある—。

内閣官房内閣サイバーセキュリティセンター（NISC、National center of Incident readiness and Strategy for Cybersecurity）の重要インフラグループは2月14日に「マイクロソフト製ソフトウェアのセキュリティ更新プログラムについて(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。

我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発

医療機関などがサイバー攻撃を受け、甚大な被害が発生する事例が散発しています。

例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、2022年秋には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。

巷間、医療機関については「一般にサイバーセキュリティ対策が甘い」「鍵のかかっていない金庫のようなものである」との指摘があります。

このため、「医療情報システムの安全管理に関するガイドライン」の再改訂（第6.0版）が行われ、例えば、システム管理者のみならず、医療機関の管理者（院長）にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか（セキュリティ対策は確保されているのかなど）をきちんと把握してもらう—ことなどを求めています。すべての医療機関でセキュリティ対策を強化することを目指す内容となります。あわせて「立入検査でのサイバーセキュリティ対策チェック」「医療機関・システムベンダ向けのサイバーセキュリティ対策チェックリスト公表」などの取り組みも進められています（関連記事はこちらとこちら）。また2024年度診療報酬改定でも「サイバーセキュリティ対策への手当て」が一定程度行われます（関連記事はこちら）。

他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター（NISC）に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています（NISCのサイトはこちら）。

今般、NISCはMicrosoft Windows、Microsoft Office等の複数のマイクロソフト製ソフトウェアに脆弱性が発見されたことを通知。プログラムの実行、異常終了、当該コンピュータに保存されているデータの改ざん・削除・漏洩などの恐れがあり、対象ソフトウェアを最新のバージョンに更新することを強く要請しています（マイクロソフト社のサイトはこちら（2023年2月のセキュリティ更新プログラム（月例）とこちら（Windows SmartScreenのセキュリティ機能のバイパスの脆弱性）とこちら（インターネットショートカットファイルのセキュリティ機能））。

ソフトウェア開発元が「最も深刻な脆弱性が含れる」としており、また「攻撃者によって細工されたファイルを実行することでマルウェアに感染する可能性があり、悪用が容易である」とされ、早急なセキュリティ更新プログラム等の適用が必須となります。

脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応が求められます。