銀行強盗のウィリー・サットンに銀行を狙う理由を尋ねると、「そこにお金があるからさ」と答えるだけだった。
悪名高いウィリー・サットンがこう答えたのは1930年代ですが、もし彼がハイリターンの最新型の犯罪が発生する現代に生きていたら、彼に「なぜヘルスケア企業にサイバー攻撃を仕掛けるのか」と尋ねたかもしれません。
その理由は明確です。全産業におけるデータ漏洩の平均コストは、1件あたり424万ドルです。ヘルスケア業界の場合、データ漏洩1件あたりのコストは2021年の713万ドルから923万ドルに跳ね上がっており、金融、製薬、テクノロジー、エネルギーなど、あらゆる業界の中で最も高額になっています。
では、なぜヘルスケア データの漏洩によるコストは高いのでしょうか。それは、ヘルスケア企業には、個人を特定できる情報(PII)、保護対象の医療情報(PHI)、財務情報という、攻撃者にとって魅力的な情報が3つもあるためです。
IBMの「2021年データ侵害のコストに関するセキュリティー調査レポート」によると、被害に遭った顧客のPIIの平均コストは1レコードあたり180ドルです。また、最初の攻撃ベクトルとして最も一般的なものは認証情報の漏洩であり、これは全攻撃の20%に相当することも明らかになっています。この数字と、米国保健福祉省(HHS)の報告書を合わせると、2021年には「ハッキング/ITインシデント」により39,630,191件という驚異的な数のアカウントが侵害されたことがわかります。2021年に認証情報の漏洩が原因で3,900万件以上のアカウントの20%が侵害されたと仮定すると、1アカウントあたり180ドルとして、そのコストは14億ドル以上に及びます。
上のグラフは、HHSが報告した2021年2月から2022年3月までのデータ漏洩の増加を示しています。
データ漏洩が発生すると、攻撃者はダーク ウェブでこれらの漏洩した認証情報を購入します。彼らは、漏洩データを「コンボリスト」と呼ばれる大きなコレクションに統合するため、攻撃者は漏洩した認証情報の巨大なリストを購入することができるのです。「コレクション#I」は2019年から販売されており、7億7,300万件の一意のメール アドレスと対応するパスワードが含まれています。
クレデンシャル スタッフィング攻撃では、攻撃者はこのような漏洩した認証情報のコレクションを購入し、さまざまなWebサイトのログイン ページで「スタッフィング」を繰り返し試みます。成功すると、攻撃者はそのアカウントを乗っ取り、詐欺的な目的に使用します。クレデンシャル スタッフィング攻撃の成功率は、通常1~2%です。攻撃者が漏洩した認証情報を100万件試せば、1~2万件のアカウントへのアクセスに成功することになります。クレデンシャル スタッフィング攻撃は人々が複数のアカウントでパスワードを使い回す傾向を利用した攻撃です。つまり、ダーク ウェブで入手できる認証情報は、複数のアプリケーションで使用されているということです。
ヘルスケア企業では、悪質なボットによるコンテンツのスクレイピングも増え始めています。具体的には、医療保険制度、保険給付説明書(EOB)、医療機関ネットワーク内の医師のリストなどの情報がボットによってスクレイピングされています。医療保険制度やEOBの情報は、競合他社が低価格の競合情報を提示するために利用する可能性があります。また、医師に関する情報は、患者から支払情報やその他のPHIを収集するためのフィッシング キャンペーンに利用される可能性があります。
データ漏洩やクレデンシャル スタッフィング攻撃のリスクを減らす最も良い方法は何でしょうか。答えは1つではありませんが、まずは、ゼロトラスト アーキテクチャを採用し、Webアプリケーションを悪用する攻撃者を特定することから始めるべきです。
ゼロトラスト アーキテクチャでは、定義された境界内の信頼できるネットワークという考え方を捨てます。つまりアクセスを許可する前に、組織の境界の内外を問わずすべてのユーザーとデバイスを検証することに重点を置いたセキュリティ モデルです。ゼロトラスト アプローチは主にデータとサービスの保護を重視していますが、すべてのエンタープライズ資産を含むように保護を拡大することができます。
F5のゼロ トラストへの取り組みは「NIST Special Publication 800-207ゼロ トラスト アーキテクチャ」を根拠としています。これは、ゼロ トラストが企業全体の情報技術のセキュリティ体制を向上させる可能性のある業界固有の一般的な導入モデルとユース ケースについて、この文書で解説されているためです。このアーキテクチャ文書は、企業のセキュリティ設計者向けにゼロ トラストについて説明しており、民間の非機密システム向けのゼロ トラストを理解するのに役立ちます。さらに、ゼロ トラスト セキュリティの概念をエンタープライズ環境に移行および導入するためのロード マップを提供しています。
F5のDistributed Cloud Bot DefenseとDistributed Cloud Account Protectionは、Webサイトを攻撃者から守ります。では、これまでお話ししたすべてのクレデンシャル スタッフィング攻撃はどうでしょうか。これらはすべて、自動化された悪質なボットによるものです。今日の攻撃者はCAPTCHAやジオフェンシングなどの従来の防御策を簡単にすり抜けてしまいます。攻撃者があらゆるタイプのCAPTCHAを破ることができる攻撃請負サービスさえ存在します。このようなサイトの1つである2captcha.comは、攻撃者がプログラムによって対策をすり抜けるためのAPIを提供しています。2Captchaは、通常のCAPTCHA、テキストCAPTCHA、ClickCaptcha、Rotate CAPTCHA、reCAPTCHA V2 & V3、reCAPTCHA Enterprise、FunCaptcha、TikTok CAPTCHAなどを解くことができます。
Distributed Cloud Bot Defenseは、プロキシ サーバーを経由してトラフィックを再ルーティングすることなく、各クライアント トランザクションからJavaScriptおよびHTTPネットワーク層の詳細な信号とテレメトリのセットをインテリジェントに収集し、アプリケーション エクスペリエンス、Webプロパティ、モバイル アプリ、APIエンドポイント トランザクションを高度なボット攻撃から保護します。このプラットフォームは、何層もの機械学習インテリジェンスを適用して、悪質なボットの自動動作を特定します。システムは、リツール攻撃の監視、フラグの設定、検出、特定を行い、自動化された攻撃をリアルタイムで緩和します。
米国のヘルスケア業界全体、そして世界規模で膨大な資金が動いているため、自動化攻撃で終わることはないでしょう。自動化攻撃を軽減しても、攻撃者は手動攻撃へと乗り出します。Distributed Cloud Account Protectionなら、企業は訪問者の意図を特定できます。Distributed Cloud Account Protectionは、一連のテレメトリ データ、環境データ、行動バイオメトリクス データに基づいて、各オンライン トランザクションを評価します。これは、訪問者が保護されたWebまたはモバイル アプリケーションに初めてアクセスしたときから、アカウントの作成、ログインまで、ユーザーの行動のあらゆる側面を通じて行われます。
Distributed Cloud Account Protectionはさらに、同じユーザーが操作する異なるブラウザやデバイス間でコンテキストを統合し、企業のグローバル ネットワークから得られたインサイトを活用して、ユーザーの意図を正確に判断することもできます。Distributed Cloud Account Protectionは、訪問者の意図を把握するための高精度のスコアを提供するAI不正検出エンジンを搭載したクローズドループ モデルとして利用することも、企業がアカウント保護データを独自のリスク エンジンに取り込み、他の不正データ ポイントと組み合わせて利用することもできます。
データ漏洩やクレデンシャル スタッフィング攻撃のコストは、ヘルスケア分野で増加の一途をたどっています。その理由は膨大な資金です。企業は、ゼロ トラスト アーキテクチャを採用し、F5のDistributed Cloud Bot DefenseとDistributed Cloud Account Protectionを使用してクレデンシャル スタッフィング攻撃を阻止することによって、このリスクを軽減できます。