「WannaCry」に襲われた英国の地域医療連携システム、そこから何を学べるのか：海外医療技術トレンド（29）（2/3 ページ）

[笹原英司，MONOist]

英国の地域医療連携システムを襲った大規模サイバー攻撃

図2　英国会計検査院(NAO)「2017年5月12日〜19日のWannaCry攻撃による影響を受けたNHSイングランド傘下の施設」（2017年10月27日）（クリックで拡大） 出典：National Audit Office「Investigation: WannaCry cyber attack and the NHS.」（2017年10月27日）

　2017年10月27日、英国会計検査院（NAC）は、「調査：WannaCryサイバー攻撃とNHS」（関連情報、PDFファイル）と題する報告書を公表した。

　同年5月12〜19日にかけての間、NHSイングランド傘下の複数の医療施設が、マルウェア「WannaCry」によるサイバー攻撃の影響を受けた。英国保健省およびNHSイングランドは、NHSデジタル、NHSインプルーブメント、政府通信本部（GCHQ）傘下の国家サイバーセキュリティセンター（NCSC）、国家犯罪対策庁（NCA）などと協力しながら、インシデント対応に当たっている。本報告書は、その時の状況について分析したものである。

　図2は、マルウェアによるサイバー攻撃の影響を受けたNHSイングランド医療施設の地理的分布を示している。イングランド北部から中部、東部に至るまで、被害が広範囲に渡っていることが分かるだろう。

　英国会計検査院の報告書によると、NHSイングランドを構成するNHSトラスト236組織のうち81組織で、システム感染や予防措置としてのデバイス／システムの停止などの報告があり、プライマリーケアのレベルでは、603の診療所およびその他の組織が感染した。そして、NHSトラスト81組織のうち、マルウェアに感染したのは37組織で、残りの44組織は感染しなかったものの何らかの障害を報告している。

　図3は、2017年5月12日〜19日の間のNHSイングランドにおけるインシデント対応の経緯を示している。

図3　英国会計検査院（NAO）「2017年5月12日〜19日のWannaCry攻撃の経緯」（2017年10月27日）（クリックで拡大） 出典：National Audit Office「Investigation: WannaCry cyber attack and the NHS.」（2017年10月27日）

　5月12日午前中に最初のトラストが問題を報告し始めてから、午後1時6分にはNHSイングランドの緊急準備レジリエンス対応チームに通知し、午後4時にNHSイングランドが、サイバー攻撃が国家的な大規模インシデントであると宣言している。その後夕方には、サイバー専門家が「キルスイッチ」を発見して、マルウェアの拡散を止めている。

　インシデント対応の第1フェーズ（5月12日〜14日）では、救急医療の経路のセキュア化、第2フェーズ（5月13日〜15日）では、プライマリーケアの安定確保、第3フェーズ（5月15日〜19日）では、救済策に重点が置かれた。

　英国会計検査院は、感染による障害のタイプを、以下の2つに分類している。

• NHSのスタッフがデバイスからロックアウトされ、患者情報にアクセスしてアップデートしたり、患者の検査結果をかかりつけ医（GP）に送信したり、患者を病院から退院させたりすることができなかった／遅れた
• 医療設備／機器が、ロックを防止すべきトラストのITシステムからロックされるか孤立した。これは、診断画像や血液検査／組織サンプルについて、トラストが設備／機器に依存していたために、トラストの放射線部門や病理部門が障害に見舞われたことを意味している

　他方、感染しなかったものの何らかの障害を報告したトラストに関しては、以下のような要因を挙げている。

• 迅速な中央の指示がなかったことにより、ランサムウェアから保護するためのデバイスのシャットダウン、ネットワークからのデバイスの分離など、各自のイニシアチブにより感染を防止するために行動するに至った
• トラストが、感染してシステムをシャットダウンしたトラストとデータまたはシステムを共有していたために、電子患者記録にアクセスできなかったり、検査結果などの情報を受信できなかったりした
• トラストが、英国内の全てのNHSサイトと接続するブロードバンドネットワークであるN3ネットワークに接続していなかった