お問合わせ・お申込み
営業時間:9:30~18:00(祝祭日を除く月~金)

病院を襲ったランサムウエア攻撃の報告書公開

2022.08.23

徳島県のつるぎ町立半田病院はランサムウェア攻撃を受け、データの暗号化により患者情報の閲覧と診療報酬の請求ができなくなった件について、調査報告書が公開されました。
調査報告書によると、VPN装置を通じて感染が広まった可能性が高いことが明らかになりました。また、他にも複数の問題が指摘されており、セキュリティー設定の甘さや古いシステムの使用などが原因とされています。病院のIT担当者が不足していたため、セキュリティーに対する対策が不十分であったとも報告されています。
また、同報告書では、VPN装置や電子カルテシステムのベンダーに対しても批判があり、マルチベンダー環境と予算不足がセキュリティーの問題を引き起こしたと指摘されています。

以下、日経クロステック からの引用です。

 徳島県のつるぎ町立半田病院は2021年10月、ランサムウエア攻撃の被害に見舞われた。データを暗号化されたために電子カルテシステムで患者情報を閲覧できなくなり、診療報酬の請求も止まった。

 同病院は2022年6月7日、経緯などをまとめた有識者会議による調査報告書をつるぎ町議会に提示した。調査報告書からは、組織がサイバー攻撃から身を守ることの難しさが改めて浮き彫りになった。

 調査報告書によると、ランサムウエアの感染経路はVPN装置経由である可能性が高いという。攻撃者はVPN製品の脆弱性を突いて病院のネットワークに侵入し、ランサムウエアを感染させた。

 また、VPN装置以外にも複数の問題点が指摘されている。例えばActive Directoryの認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施していなかったため、攻撃者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。

 そのほか「電子カルテシステムと相性が悪かったとしてマルウエア対策ソフトを稼働させていなかった」「Windowsの自動更新機能を無効にしていた」「Windowsのパーソナルファイアウオール機能の稼働を止めていた」「サポートが終了したWindows 7搭載端末が使われていた」「同じくサポートが終了した『ActiveX』や『Silverlight』に関する設定も有効なままになっていた」などの問題点も見つかった。

 危険なセキュリティー設定で運用していた原因の1つとして調査報告書は、半田病院が利用する電子カルテシステムの古い設定を引きずっていたと指摘する。半田病院が電子カルテシステムを初めて導入したのは2011年。電子カルテシステムの当時のバージョンでは、WebブラウザーInternet Explorer 7での稼働を前提にしていたとみられる。

 半田病院は2018年に電子カルテシステムを新版に切り替えたが、端末側の設定は特に変更しなかったという。結果として攻撃者から見れば、攻撃に悪用できる「穴」が多数あるLANだったわけだ。

 調査報告書を作成した有識者会議の委員の1人であるSoftware ISAC共同代表の板東 直樹氏は、「閉域網だから安全という神話を信じ、セキュリティー対策について思考停止の状態だった。他の多くの医療機関にも見られる大きな課題だ」と指摘する。

 とはいえ調査報告書は、半田病院に同情する姿勢を見せる。半田病院のIT担当者は1人しかおらず、セキュリティーに手が回らない状態だったからだ。むしろ実態を知りながら支援しなかったとして、VPN装置やサーバーを設置したベンダー(調査報告書ではA社)、電子カルテシステムを販売したベンダー(同C社)などを強く批判する。

 調査報告書のC社に当たるJBCCホールディングスとA社に当たるスタンシステムの両ベンダーは取材に対し、調査報告書の内容には見解が異なる点があるとそれぞれ主張した。

 JBCCは半田病院との契約について電子カルテシステムなどのソフトに限られ、VPN装置やサーバー、LANなどのシステム基盤には一切責任を負っていないとする。

 調査報告書には、LAN側の設定のいくつかをC社が指示したとする記述も見られる。この点については、「少なくともマルウエア対策ソフトの稼働を止める指示はしていない。Windowsアップデートの停止については、導入手順書が示した正常動作が確認できるまで一時的に止めておくという趣旨の記述が、サーバーの設定を担当した別のベンダーに正しく伝わっていなかったためではないか」と話す。

 ただ、電子カルテシステムがランサムウエア被害に遭うケースが最近増えていることを半田病院に注意喚起したかという質問には、「当社からネットワーク機器やマルウエア対策製品などを提供している顧客には情報を提供している」との回答にとどまった。

一方、スタンシステムは2022年6月10日時点で調査報告書の内容をまだ確認できていないと断ったうえで、取材に応じた。まず、VPN装置の脆弱性が放置されていた点については「半田病院に提供する保守サービスはハードウエアにとどまり、ファームウエアの更新など設定に関する保守の契約は受注していない。無償での更新作業には応じられない」とした。

 同社は病院内LANのサーバーの設定も、設置した当初以外は関与していない。半田病院のシステムには複数のベンダーが参加する。電子カルテシステムなどのアプリケーションをJBCCが担当し、LANスイッチなどのネットワーク機器や、マルウエア対策ソフトはそれぞれ別のベンダーが担当している。「当社が自発的にVPN装置やサーバーの設定を変更したために電子カルテシステムやネットワークが動かなくなったら責任を問われる」(スタンシステム)。

 契約上はVPN装置とサーバーの責任を持つ同社だが、電子カルテシステムを担当するJBCCを半田病院のシステム全体の統括責任者ととらえ、その指示がなければ設定変更などの作業を避ける姿勢を取っていたことがうかがえる。

 調査報告書と2社の主張を整理して分かるのは、複雑なマルチベンダー環境の結果、どのベンダーも半田病院のセキュリティー水準を高めようという提案を持ちかけにくい状態に陥っていたことだ。公立病院のIT予算の乏しさも垣間見える。

 予算不足とマルチベンダー環境が引き起こしたIT運用のマネジメント不全。これこそが今回のランサムウエア被害の真因だったと考えられる。

引用元:病院を襲ったランサムウエア攻撃の報告書公開

「IT担当者はたった1人で手が回らず 真因は予算不足とマルチベンダー環境」とのことです。
弊社としても考えさせられる内容でした。
予算が無い(予算を出さない)企業に対してどのようにアプローチしていくか大きな課題です。
セキュリティ対応やそれに対する人員は生産性を高めるものではないので、予算の見積もりが困難という理解はできます。
ただ、社会的責任として最低限のことは対策しておき、プラスアルファで予防策に予算を費やして欲しいところです。
組織によってこのあたりは様々なので、一概に言えませんが会社の共通課題の1つを言えそうです。

Back to Top