全3612文字
PR

 ランサムウエア(身代金要求型ウイルス)攻撃の被害を2021年10月に受けた徳島県のつるぎ町立半田病院は2022年6月7日、経緯などをまとめた有識者会議による調査報告書をつるぎ町議会に提示した。

半田病院は2021年10月にランサムウエア被害に遭った
半田病院は2021年10月にランサムウエア被害に遭った
[画像のクリックで拡大表示]

 既報の通り、ランサムウエアの感染経路は米Fortinet(フォーティネット)製のVPN(仮想私設網)装置経由である可能性が高いことを、今回の調査報告書も指摘した。VPN装置の脆弱性を放置していただけでなく、病院内LANも「閉域網だから安全」という誤解のもと、マルウエア(悪意のあるプログラム)対策ソフトの稼働を止めるなどリスクの高い設定で運用していたと明らかにした。

ランサムウエア攻撃に遭った徳島・半田病院、被害後に分かった課題とは

 調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。

脆弱性を放置、認証情報の流出にも気づかず

 調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。

 調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。

 さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。

 根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。

パスワードは最短5桁、マルウエア対策ソフトも停止

 脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。

半田病院が実施していた危険なセキュリティー設定の例
半田病院が実施していた危険なセキュリティー設定の例
[画像のクリックで拡大表示]

 危険なセキュリティー設定はまだまだある。「電子カルテシステムと相性が悪かったとしてマルウエア対策ソフトを稼働させていなかった」「Windowsアップデートの自動更新を無効にしていた」「Windowsのパーソナルファイアウオール機能の稼働を止めていた」「サポートが終了したWindows 7搭載端末が使われていた」「同じくサポートが終了した『ActiveX』や『Silverlight』に関する設定も有効なままになっていた」などだ。

 危険なセキュリティー設定で運用していた原因の1つとして、調査報告書は半田病院が利用する電子カルテシステムの古い設計を引きずっていたと指摘する。半田病院が電子カルテシステムを初めて導入したのは2011年。電子カルテの当時のバージョンでは、マイクロソフトのブラウザー「Internet Explorer 7」での稼働を前提にしていたとみられる。

 半田病院は2018年に電子カルテシステムを新版に切り替えたが、端末側の設定は特に変更しなかったという。結果としてサイバー犯罪者から見れば、攻撃に悪用できる「穴」が多数あるLANだったわけだ。

 調査報告書を作成した有識者会議の委員の1人であるSoftware ISACの板東直樹共同代表は、「閉域網だから安全という神話を信じ、セキュリティー対策について思考停止の状態だった。他の多くの医療機関にも見られる大きな課題だ」と指摘する。

調査報告書は善管注意義務があると批判するが…

 危険なセキュリティー設定の存在をいくつも指摘したものの、調査報告書は半田病院のIT担当者が1人しかおらず、セキュリティーに手が回らない状態だったと同情する姿勢を見せる。むしろ実態を知りながら支援しなかったとして、VPN装置やサーバーを設置したA社や、電子カルテシステムを販売したC社などベンダーを強く批判する。「医療情報を扱う当事者でなくとも、システム全体の構成要素の内容を含めたリスクマネジメント実施の提案、または知見が不足するのであれば、第三者への委託を含めそれらを促すなどの善管注意義務は十分にあった」(調査報告書から抜粋)とした。

 批判を受けたベンダーは、調査報告書の内容をどのように受け止めているのか。