大手健康管理組織への攻撃がメディアの注目を集めることはありませんが、小規模の民間健康管理組織へのサイバー攻撃は日常茶飯事です。大手健康管理組織よりも予算の低い中小規模の健康管理組織には、たいていの場合、大手の組織のようなITリソースが欠けています。これにより、中小医療組織はサイバー犯罪者たちにとって魅力的で手軽な標的になっています。
サイバー犯罪者たちが中小規模の健康管理組織に望むもの
健康管理データは、公開市場で最も利益の高いデータであり、中には、闇市場では1,000ドルに及ぶ価値で取引されるデータもあります。1件のデータがあれば、サイバー犯罪者は、データの所有者とデータ漏洩のあった健康管理組織の両方に計り知れない損害を与えることができます。
2019年前半、米国で3,100万人の患者データが漏洩しました。名前、生年月日、社会保険番号など、これらのデータの一つ一つは、サイバー犯罪者たちにとっては、情報の宝です。そして、漏洩データごとに、漏洩調査コスト、漏洩データの回復、訴訟手数料の支払いなどの関連コストがかかります。中小規模の健康管理組織にとって、大規模な漏洩事件は組織を回復不能に陥れる可能性があります。
[関連コンテンツ]中小企業はMSPのサイバーセキュリティ支援に期待しています
健康管理データを狙ったフィッシング
ハッカーが健康管理データに侵入する方法は無数にありますが、最も簡単で最も効果の高い方法はフィッシングを使う方法です。2019年のトップ漏洩事件において、フィッシングは、いくつもの組織を人質にとるランサムウェアと並んで、主要要因となりました。
多くの中小企業がフィッシング意識向上トレーニングに投資していますが、ハッカーたちは、高度な技術を用いてユーザーとメールフィルターの両方を欺きます。URLリダイレクトやショートカットの悪用から正規の内容と不正な内容の混合に至るまで、これらの難読化技術は、従来のソリューションがフィッシングを検知するのを難しくしています。
さらに悪質な場合、高度な技術を用いるハッカーは、中小規模の健康管理組織を調査し、その組織とユーザーに特化した攻撃を計画して、特定のユーザーを狙った単独の個人化された攻撃を仕掛けて、ターゲットを巧みに操ります。
一つ例を挙げると、民間の地域健康管理組織の職員が、従業員の満足度調査に回答するように促すOffice 365のフィッシングメールを受信しました。このメールには、その組織のロゴが使われており、その他にもブランド化されている点がいくつかあるだけでなく、その調査自体が各ユーザーからデータを実際に収集する働きをしていました。
[関連コンテンツ] eBook:Office 365のためのメールセキュリティ
このような攻撃からも分かるように、Office 365のフィッシング攻撃は、ますます標的化しており、それらを阻止するためには、人間とテクノロジーの両方の面で努力が必要です。フィッシングに関する意識向上トレーニングは不可欠であり、実際に効果もありますが、最新のフィッシング技術は、さらに巧妙になっているため、認識しにくくなっています。特に、非常に標的化された攻撃の場合、その傾向が強まります。
Office 365を利用する比較的規模の小さな組織は、追加費用が発生するため、サイバーセキュリティにさらに投資することを拒みます。そのうえ、MSPは、Office 365のネイティブなソリューションであるExchange Online Protection (EOP)に追加のレイヤーを加えることをクライアントに納得させるのに苦労することが多々あります。
2019年のランサムウェアの波から複数のMSPが学んだように、フィッシングは、クライアントだけでなく、MSPの事業にも直接的に被害を及ぼします。より多くのクライアントがOffice 365へ移行しているため、MSPは、ネイティブに統合されるOffice 365の保護に特化して設計されたソリューションを提供する必要があります。
このケーススタディを読んで、中小規模の健康管理組織がOffice 365のためのVade Secureを使ってどのようにフィッシングの脅威を排除しているのかを知りましょう。
