ブログ

デジタル ヘルスケア ユーザー エクスペリエンスのセキュリティを確保しないことで発生する莫大なコスト

レーン・ウィリアムズ サムネイル
レーン・ウィリアムズ
2022年5月10日公開

銀行強盗のウィリー・サットンは、なぜ銀行を狙うのかと尋ねられたとき、「そこに金があるからだ」とだけ答えた。

1930 年代にこのことを言った悪名高いウィリー・サットンが、高収益犯罪に対する現代的な見解を持って今日生きていたとしたら、私たちは彼にこう尋ねるかもしれません。 「なぜ医療関連企業にサイバー攻撃を仕掛けるのですか?」

理由は明らかです。 全業界におけるデータ侵害の平均コストは、1件あたり424万ドルです。 ヘルスケアの場合、データ侵害1件あたりのコストは2021年の713万ドルから923万ドルに跳ね上がり、ヘルスケアは金融、製薬、テクノロジー、エネルギーを含むあらゆる業界の中で最も高いデータ侵害コストとなっています。 

医療データの漏洩はなぜコストが高くなるのでしょうか? ヘルスケア企業は、個人識別情報 (PII)、保護された健康情報 (PHI)、財務情報という、悪意のある行為者にとって魅力的な情報を 3 つ保有しています。 

IBMの「 2021年データ漏洩コストレポート」によると、顧客の個人情報(PII)の損失にかかる平均コストはレコード1件あたり180ドルです。 また、最も一般的な初期攻撃ベクトルは資格情報の侵害であり、全攻撃の 20% を占めるとも述べています。 これらの数字を米国と組み合わせると 保健福祉省(HHS)の報告書によると、2021年には「ハッキング/ITインシデント」により、驚くべきことに39,630,191件のアカウントが侵害されたとのことです。 2021 年に 3,900 万を超えるアカウントのうち 20% が、アカウントあたり 180 ドルの資格情報の漏洩により侵害されたと仮定すると、コストは 14 億ドルを超えます。

医療データ侵害の犯罪の軌跡

上記のグラフは、2021 年 2 月から 2022 年 3 月までに HHS によって報告されたデータ侵害の増加を示しています。 

データ侵害が発生すると、悪意のある人物はダークウェブを利用して侵害された認証情報を購入します。 悪意のある人物は、データ侵害を「コンボリスト」と呼ばれる大規模なコレクションに統合しているため、攻撃者は侵害された資格情報のより大きなリストを購入できるのです。 「コレクション #I 」は2019年から販売されており、7億7,300万件の固有のメールアドレスとそれに対応するパスワードが含まれています。

クレデンシャル スタッフィング攻撃では、悪意のある人物が侵害された資格情報のコレクションを購入し、さまざまな Web サイトのログイン ページに「クレデンシャル スタッフィング」を繰り返し試行します。 成功すると、攻撃者はアカウントを乗っ取り、不正な目的で使用します。 クレデンシャルスタッフィング攻撃の成功率は通常 1 ~ 2 パーセントです。 侵害された認証情報 100 万件をテストする場合、悪意のある人物は通常 10,000 ~ 20,000 件のアカウントにアクセスできます。 クレデンシャル スタッフィング攻撃が成功するのは、人々が多くのアカウント間でパスワードを再利用およびリサイクルする傾向があるためであり、ダーク ウェブで入手可能なパスワードは複数のアプリで広く使用されています。

医療業界でも、悪意のあるボットがますます多くのコンテンツをスクレイピングする現象が見られるようになってきています。 具体的には、ボットは健康保険、給付金明細書 (EOB)、プロバイダー ネットワーク内の医師のリストに関する情報をスクレイピングしています。 健康保険プランと EOB 情報は、競合他社がより低価格と競争力のある情報を提供するために使用できます。 医師の情報は、患者から支払いやその他の PHI を収集するためのフィッシング キャンペーンに使用される可能性があります。

攻撃に先手を打つ

データ侵害やクレデンシャルスタッフィング攻撃のリスクを軽減する最善の方法は何ですか? 答えは一つではありませんが、ゼロトラスト アーキテクチャを採用し、Web アプリケーションを悪用する悪意のある行為者を特定することから始めるのが良いでしょう。

ゼロトラスト アーキテクチャでは、定義された境界内の信頼できるネットワークという概念が排除されます。 言い換えれば、アクセスを許可する前に、組織の境界内外のすべてのユーザーとデバイスを検証することに重点を置いたセキュリティ モデルです。 ゼロトラスト アプローチは主にデータとサービスの保護に重点を置いていますが、すべての企業資産を含めるように拡張できます。

F5 は、ゼロ トラストに関する取り組みにおいて、 NIST 特別出版物 800-207 ゼロ トラスト アーキテクチャに大きく依存しています。これは、ゼロ トラストによって企業の全体的な情報技術セキュリティ体制が改善される可能性がある業界固有の一般的な導入モデルとユース ケースを提供しているためです。 このアーキテクチャ ドキュメントでは、エンタープライズ セキュリティ アーキテクト向けにゼロ トラストについて説明し、民間の非機密システムに対するゼロ トラストの理解を支援します。 さらに、ゼロ トラスト セキュリティの概念をエンタープライズ環境に移行および展開するためのロードマップも提供します。

 

医療サイバー犯罪に対抗するソリューション

F5 分散クラウド ボット防御分散クラウド アカウント保護は、 Web サイトが悪意のある行為者によって悪用されるのを防ぎます。 先ほど述べたクレデンシャルスタッフィング攻撃すべてですか? それらはすべて悪意のある自動ボットから来ています。 CAPTCHA やジオフェンシングなどの従来の防御は、今日の悪意のある行為者によって簡単に回避されます。 悪意のある人物があらゆる種類の CAPTCHA を破ることを可能にする有料サービスさえあります。 こうしたサイトの 1 つである 2captcha.com は、悪意のあるユーザーがプログラムによって保護を回避できるように API を提供しています。 2Captcha は、通常の Captcha、テキスト Captcha、ClickCaptcha、回転 Captcha、reCAPTCHA V2 および V3、reCAPTCHA Enterprise、FunCaptcha、TikTok Captcha などを解決します。

分散クラウド ボット防御は、プロキシ サーバー経由でトラフィックを再ルーティングすることなく、各クライアント トランザクションから JavaScript および HTTP ネットワーク層シグナルとテレメトリの詳細なセットをインテリジェントに収集することで、アプリケーション エクスペリエンス、Web プロパティ、モバイル アプリ、API エンドポイント トランザクションを高度なボット攻撃から保護します。 このプラットフォームは、複数層の機械学習インテリジェンスを適用することで、悪意のあるボットの自動化動作を識別します。 システムは、再ツール化された攻撃を監視、フラグ付け、検出、識別し、自動化された攻撃をリアルタイムで軽減します。

米国の医療業界全体、そして世界規模で多額の資金が流れているため、悪意のある行為者は自動化にとどまらないでしょう。 悪意のある行為者による自動化を緩和できれば、彼らは手動攻撃に踏み切るでしょう。 分散クラウド アカウント保護は、企業が訪問者の意図を識別するのに役立ちます。 分散クラウド アカウント保護は、訪問者が保護された Web またはモバイル アプリケーションに初めてアクセスした時点から、アカウントの作成またはログインに至るまで、ユーザーの行動のあらゆる側面にわたって、一連のテレメトリ、環境、および行動の生体認証データに基づいて各オンライン トランザクションを評価します。 

分散クラウド アカウント保護では、同じユーザーが操作するさまざまなブラウザーやデバイス間でコンテキストを接続し、組織のグローバル ネットワークからの洞察を活用して、ユーザーの意図を正確に判断することもできます。 分散型クラウド アカウント保護は、訪問者の意図を理解するための高精度スコアを提供する AI 不正エンジンを搭載したクローズド ループ モデルとして使用することも、企業がアカウント保護データを独自のリスク エンジンに取り込み、他の不正データ ポイントと組み合わせることもできます。

医療分野では、データ侵害やクレデンシャルスタッフィング攻撃のコストが着実に増加しています。 なぜ? お金、しかも大量に。 企業は、ゼロ トラスト アーキテクチャを採用し、F5 分散クラウド ボット防御およびアカウント保護を使用してクレデンシャル スタッフィング攻撃を阻止することで、このリスクを軽減できます。