ランサムウェア被害病院の報告書
2023.05.23ニュース
大阪急性期・総合医療センターは、2022年10月31日にランサムウェア攻撃を受け、電子カルテなどが暗号化され、外来診療や検査が停止されました。調査委員会は、攻撃の詳細な報告書を公表しました。被害額は数億円の調査復旧費用と十数億円以上の逸失利益が見込まれています。報告書では、技術的・組織的要因が被害の拡大につながったと指摘しています。
報告書によると、攻撃者は給食事業者のシステムに侵入し、センターのサーバー認証情報を窃取しました。給食サーバーを踏み台にして電子カルテサーバーや部門システムにランサムウェアを広げました。センターのセキュリティ対策の甘さやセキュリティ意識の欠如が攻撃の拡大を許した原因として指摘されています。
以下、日経クロステック からの引用です。
大阪急性期・総合医療センターは2022年10月31日、ランサムウエア(身代金要求型ウイルス)攻撃により電子カルテなどが暗号化され、外来診療や各種検査の停止を余儀なくされた。原因や再発防止策を検討する有識者による調査委員会は2023年3月28日、その攻撃の詳細な報告書を公表した。
ランサムウエアによる被害額は現在精査中としつつ、調査復旧費用で数億円、診療制限に伴う逸失利益としては十数億円以上を見込む。報告書では、被害の拡大につながった技術的・組織的要因について言及した。
報告書では、攻撃の流れについて順を追って説明している。攻撃者はまず、同センターが入院患者の給食提供を委託していた事業者のシステムに侵入した。給食事業者のシステム構築・保守を担当する事業者が設置し、リモート保守に用いていたファイアウオールが侵入口だった。
攻撃者は給食事業者のシステムから窃取した同センターのサーバー認証情報を用いて、同センターが管理する給食サーバーに侵入。同センターのファイアウオールは、閉域網を介して接続していた給食事業者からのRDP通信が常時接続できるように設定されていた。これにより、攻撃者は同センターの給食サーバーを踏み台にして、電子カルテサーバー群や部門システムのサーバーにランサムウエア「Elbie」の感染を広げた。
攻撃の「横展開」を許した原因は、閉域網を過信した同センターのセキュリティー対策の甘さだった。サイバー攻撃対策は境界防御に依存しており、同センター内のネットワークのセキュリティー対策は手薄だったのだ。
報告書は以下の4点に対策の甘さがあったと指摘している。「共通のパスワードを使用していた」「アカウントロックが設定されていなかった」「全てのユーザーに管理者権限を与えていた」「電子カルテシステムのサーバーにウイルス対策ソフトを導入していなかった」──である。
同センターの病院システムのサーバーや端末では共通のパスワードを使用していた。1つのパスワードを窃取すると、他のサーバーや端末を乗っ取ることができる状態だったわけだ。また、ログインを規定回数以上連続して失敗するとロックがかかるアカウントロックも設定していなかった。このため、パスワードの総当たり攻撃が容易な状況だった。
一方、給食事業者の給食システムには、同センターとは別の2つの病院も接続していた。だが2病院は給食サーバーのパスワードと電子カルテサーバー群のパスワードが異なっていた。ネットワークセグメントも分けていたため、結果として電子カルテシステムへの侵入や暗号化を防げた。
同センターは再発防止策として、セキュリティーポリシーを次のように改めた。「16桁以上のパスワードを端末ごとに設定する」「認証に5回以上連続で失敗したらアカウントを15分間ロックする」「アカウントは基本的に標準ユーザーとする」「電子カルテシステムにウイルス対策ソフトを導入する」。
調査委員会は報告書で、各事業者の役割分担や責任分界点、脆弱性管理におけるITガバナンスの欠如に対して警鐘を鳴らしている。
報告書によれば、給食事業者は攻撃者の侵入口となったファイアウオールの存在を知らなかったとしている。ファイアウオールを設置したシステム保守事業者も、セキュリティー意識や責任分界点の認識が不十分だった。結果として、IDとパスワードを窃取される脆弱性を残したまま運用しており、攻撃者が活用するリストにIDとパスワードが漏洩していた。
報告書では、セキュリティー対策について医療機関とベンダー双方に共通理解の形成を求めた。契約ごとにSLAなどで責任分界点や役割を明確にすべきだとした。
今回のランサムウエア攻撃被害を踏まえ、調査委員会は国や地方公共団体に対し、医療機関のサイバーセキュリティーの継続的な向上と維持の支援を求めた。厚生労働省が初動対応専門チームを派遣する「医療情報セキュリティ研修及びサイバーセキュリティインシデント発生時初動対応支援・調査事業」の継続、医療情報システムの管理およびセキュリティー強化、IT人材の確保に係る診療報酬制度の制度設計などである。
引用元:病院を襲ったランサムウエア攻撃の報告書が公開
1.ファイアウォールの脆弱性をついて侵入
2.サーバーの脆弱性をついて他サーバーに感染
という流れかと思います。
報告書では、共通のパスワードの使用、アカウントロックの不設定、全ユーザーへの管理者権限の付与、ウイルス対策ソフトの不導入など、4つの甘さが指摘されています。
また、事業者の役割分担や脆弱性管理におけるITガバナンスの欠如についても警鐘を鳴らしています。セキュリティ対策について医療機関とベンダーの共通理解の形成や明確な責任分界点の設定が求められています。
このあたり1ベンダーとして弊社としても考えさせられる内容でした。
このようなインシデントが発生する前に対応していきたいものです。