先日の記事(1)で医療分野におけるセキュリティインシデントの昨年の事例と傾向をご紹介しました。大きな傾向の一つとなっているランサムウェアへの対策・対応は急務となっています。
そこで、2022年10月に発生した大阪急性期・総合医療センターのランサムウェア感染事案を受け、厚生労働省が発表した『医療機関等におけるサイバーセキュリティ対策の強化について』(2)の注意喚起に沿って、医療機関が対応すべきセキュリティ対策についてご紹介します。
サプライチェーンリスク全体の確認
自組織のみならずサプライチェーン全体を俯瞰し、発生が予見されるリスクを医療機関等自身でコントロールできるようにする必要があることから、関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実施する。
厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
ITにおけるサプライチェーンとは、ITシステム・サービスに関する業務を系列企業やビジネスパートナーなどに外部委託し、その委託が連鎖する形態のことです。近年、サプライチェーンの弱点を悪用した攻撃は脅威を増しており、情報処理推進機構が公開している『情報セキュリティ10大脅威 2022』(3)においても、組織の脅威の第3位にランクインしています。
急性期医療センターの事例では、同センターが委託していた給食提供サービス事業者と同センターのシステムがリモートデスクトップで接続されており、給食提供サービス事業者のサーバーを経由して侵入された可能性がある(4)と発表されています。
サプライチェーンリスクが把握できていない状態は、家の中に他の家とのトンネルが通っており、それに気づかずにいるようなものです。他の家の防犯対策が疎かになっている場合は、自分の家のセキュリティレベルの低下に直結します。自組織のサプライチェーンとの接続点を把握し、各接続点でどのようなリスクが存在するかを検討することがまずは重要です。
リスク低減のための措置
パスワードを複雑なものに変更し、使い回しをしない。不要なアカウントを削除しアクセス権限を確認する。多要素認証を利用し本人認証を強化する。IoT 機器を含む情報資産の保有状況を把握する。VPN装置を含むインターネットとの接続を制御するゲートウェイ装置の脆弱性は、攻撃に悪用される可能性があるので、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。悪用が既に報告されている脆弱性については、ログの確認やパスワードの変更など、開発元が推奨する対策が全て行われていることを確認する。VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施する。メールの添付ファイルを不用意に開かない、URLを不用意にクリックしないこと。不審メールは、連絡・相談を迅速に行い組織内に周知する。
厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
半田病院や急性期医療センターの事例ではVPN装置が侵入経路として利用されたことから、そのリスクを低減するための措置が中心となっています。
医療機関におけるシステムの特徴として、電子カルテなどの重要なシステムをインターネットに接続しないようにするため、いわゆる境界型セキュリティが典型的に採用されており、リモートでの保守作業や委託先との拠点間通信のため、VPNが使用されます。その一方、セキュリティに投資する人的・金銭的・技術的なリソースの不足により、VPNや内部ネットワークが脆弱な状態になってしまうことが課題となっている医療機関も数少なくないことかと思います。
半田病院の報告書(5)によると、VPNの脆弱性が悪用されて窃取されたアカウント情報がダークウェブに公開されていたことから、VPN装置のアカウント情報が悪用されて侵入を許した可能性が極めて高いと報告されています。また、VPN装置にはアクセス制限が設定されていなかったため、インターネット上の全てのシステムから接続が可能な状況でした。
このような状況に対しては、まず自組織の情報資産の保有状況を把握することが重要です。重大な脆弱性情報が話題となっている際、その情報が自組織に関係するか判断することができれば、セキュリティパッチ適用の対応を取ることができます。また、セキュリティパッチ適用前にアカウント情報の窃取が疑われる場合には、パスワードの変更の対応が必要となります。そして、VPN機器に対して、アクセス元のIPアドレスを制限する等の設定をすることで、第三者からの攻撃のリスクを大きく減少させることができます。
インシデントの早期検知
サーバ等における各種ログを確認する。(例:大量のログイン失敗の形跡の有無)通信の監視・分析やアクセスコントロールを再点検する。(例:不審なサイトへのアクセスの有無)
厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
半田病院や急性期医療センターの事例では、攻撃者によって最初の1台に侵入された後、端末数十台に侵害範囲が拡大され、最終的にランサムウェアが実行されました。そしてプリンターからの大量の印刷物や電子カルテの不具合といった、明確な異常が発生してからようやくインシデントを検知することができました。攻撃者の最終目的と思われるランサムウェアの実行が成功しているので、検知できなかったともいえるかもしれません。
最初の侵入段階、もしくは侵入段階で気づけずとも侵害範囲が拡大する段階で何かしらの異常に気づくことができれば、ランサムウェアの実行という攻撃者の最終目的は失敗に終わります。通信を監視するセキュリティシステムや、各端末のセキュリティを監視するウイルス対策ソフトなどのログをモニタリングし、サイバー攻撃の兆候をいち早く掴むことが被害の拡大を防ぐためには重要です。
インシデント発生時の適切な対処・回復
サイバー攻撃を受け、システムに重大な障害が発生したことを想定した事業継続計画を策定する。データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、外部関係機関への連絡体制や組織内連絡体制等を準備する。インシデント発生時及びそのおそれがある場合には、速やかに厚生労働省等の関係機関に対し連絡する。
厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
半田病院や急性期医療センターの事例では、災害を想定した事業継続計画が策定されており、他医療機関との連携による事業継続や関係機関への連絡などの初動対応はスムーズな対応が見受けられました。その一方、準備していた事業継続計画はサイバーインシデントを想定したものではなかったため、紙カルテの長期運用といった想定外の事象が発生しました。(6)
また、急性期医療センターは電子カルテなどデータのバックアップが保管されていた一方、半田病院では2018年以降のバックアップが取得できていなかったことが報告されており、暗号化されたデータを復旧できたものの全期間のバックアップが正常に保管されていた場合に比べると復旧までの期間を要したものと思われます。
これらの事業継続計画の策定やバックアップの取得といった有事への準備は、事業停止や縮退の長期化を防止し、早期復旧に繋がります。また、有事の際の計画を定めていないことで初動の対応を誤ってしまうことは、組織の信頼感の低下に繋がりかねません。これらのことから、サイバー攻撃を想定した準備を実施することは重要なポイントとなります。
金銭の支払いに対する対応
厚生労働省としては、サイバー攻撃をしてきた者の要求に応じて金銭を支払うことは、犯罪組織に対して支援を行うことと同義と認識しており、以下の観点により金銭の支払いは厳に慎むべきである。金銭を支払ったからと言って、不正に抜き取られたデータの公開や販売を止めることができたり、暗号化されたデータが必ず復元されたりする保証がないこと。一度、金銭を支払うと、再度、別の攻撃を受け、支払い要求を受ける可能性が増えること。
厚生労働省「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」
半田病院の事例では、報告書によるとデータが完全に復旧する保証はないことや、警察からの指導、金銭の支払いが自治体の姿勢として理解を得られないことなどから、身代金を支払わない方針が定められていたとのことです。後の報道で、攻撃グループが身代金を受け取ったと主張しており、復元を依頼されたIT業者の関与の可能性が報じられました(7)が、真相は不明です。また、急性期医療センターの事例でも、攻撃グループとの交渉や金銭支払いには応じない方針を定めています。
注意喚起にもあるように、一度金銭を支払ってしまうと、脅迫すれば金銭を支払うという認識を持たれるため、再度被害を受ける可能性が高まります。また個々の組織だけの話に留まらず、日本の医療機関は金銭支払いに応じやすいという評価が広まり、医療分野全体として被害を受けやすくなる恐れもあります。サイバー攻撃を受けても「金銭は支払わない」という方針をあらかじめ決定しておくことで、判断の必要性がなくなり復旧に向けてシンプルな意思決定を行うことにも繋がります。
最後に
今回の記事ではランサムウェアの感染事案を受けて、医療機関が対応すべきセキュリティ対策についてご紹介しました。
急性期医療センターの侵入経路となった、脆弱性が解消されていないVPN機器が国内に400台残っているいう報道(8)があったり、2022年12月には同じVPN機器の機種であるFortiGateに使用されているFortiOSに緊急レベルの脆弱性が新たに発見され、悪用が確認(9)されていたりするなど、今後も類似のサイバー攻撃による被害が拡大していく可能性が予見されます。
セキュリティに関する例え話として、鎖の強さは最も弱い繋ぎ目で決まると言われているように、セキュリティは弱い部分から対策に取り組むことが重要です。今回紹介した全ての対策を実施することは、時間的な問題や金銭的な問題から現実的には難しいかもしれませんが、まずは自組織において最も弱みと考える部分から取り組みを進めてみてはいかがでしょうか。
参考文献
(1) Digital Health Times:医療分野のセキュリティニュース2022
(2)厚生労働省:医療機関等におけるサイバーセキュリティ対策の強化について(2022年11月10日)
(3)情報処理推進機構:情報セキュリティ10大脅威 2022(2022年1月27日)
(4)日経クロステック:大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意(2022年12月1日)
(5)徳島県つるぎ町立半田病院:コンピュータウイルス感染事案 有識者会議調査報告書(2022年6月7日)
(6)読売新聞オンライン:サイバー攻撃受けた大阪の病院、災害用BCPは作成していたが…「訓練とは全く違った」(2022年12月11日)
(7)産経ニュース:露ハッカー集団「3万ドル受領」 徳島の病院サイバー攻撃で(2022年10月26日)
(8)毎日新聞:病院サイバー攻撃 VPN機器に安全上の欠陥、国内400台未対策(2022年12月23日)
(9)JPCERT/CC:FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起(2022年12月13日)
