どこを読んでも学ぶとこしかない 岡山県の病院のランサム被害報告書を徹底解説(ITmedia配信)
ランサムウェア攻撃を受けた岡山県精神科医療センターという病院のランサムウェア事案調査報告書を紹介した記事。
「このインシデントを「人災だ」とし、非常に鋭い内容のレポートに仕上がっている」そうです。
何カ所か引用すると...
「個人的に最も重要だと思ったのは、「閉域網」神話への妄信が続いている現状に対する警鐘です。このインシデントの初期侵入は、恐らく保守向けに設置されていたSSL-VPN装置ではないかと考えられています。報告書によると、システム内に設置された医療機器をはじめ、そのほとんどが境界防御を前提とした「閉域網」というセキュリティ施策を取り入れていたとされています。」
「「5.8.1 技術的対策」、ベンダーのセキュリティポリシーには、このような一文があります。
今回のヒアリングを通じて、電子カルテベンダーや部門システムベンダー、医療機器ベンダーが、医療情報システムは「閉域網」であるからウイルスに感染しない、「閉域網」であるから脆弱(ぜいじゃく)性を放置しても大丈夫という意識をいまだに持ち続けていることを確認した。
(「ランサムウェア事案調査報告書について」から引用)」
「多くの組織に役立つ情報として、報告書では同インシデント後に実施した対策がまとめられています。ランサムウェア被害後に講じた、侵入防止策や水平展開防止策、情報漏えい防止策、脆弱性対策が詳細に記載されています。ランサムウェア対策が不十分だと思う企業はぜひ、自組織でもできそうなことも取り入れていってください。
これらの中でも重要な対策は「管理者権限での稼働を禁止した」ことではないでしょうか。個人端末では、何となく管理者権限が付与されたまま使っている方も多いかと思います。しかし、業務で利用するPCやアカウントは、必要な場合を除き、標準ユーザーで利用することが必須です。今回の見直しでは、電子カルテシステムでは管理者権限を必要とするプログラムとなっていたとあり、それが悪用された結果、管理者権限によってEDR(Endpoint Detection and Response)/XDR(eXtended Detection and Response)が無効化される可能性が指摘されています。」
取り上げられている報告書はこちら。60ページほどのもので、今年の2月13日に公表されています。
地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について
「この度、医療情報セキュリティの第一人者であり、当院の事案について厚生労働省初動チームとして原因究明にあたった一般社団法人ソフトウェア協会の専門家に事案調査を依頼し、本調査報告書を頂きました。この調査の目的は、つまびらかに事実を記載し、ひとえに今後の対策にとって重要な情報を正確に把握して、公表することです。本報告書は一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすることをお願いしています。」
「情報流出は防げた人災」 県精神科医療センターへのサイバー攻撃(朝日)
「調査報告書は「(セキュリティーの)脆弱(ぜいじゃく)性の放置や、推測可能なパスワードを使い回したことによる人災」と結論づけた。」
「侵入の入り口となった保守用VPN装置のIDやパスワードは推測可能なもので、接続元IPアドレスの制限もなく、「ネット上から誰でも攻撃が可能だった」という。病院内のコンピューターは全て同じID、パスワードだった。ランサムウェアはウイルス対策ソフトで、ウイルスの検出、検疫が可能だったが、攻撃時に設定が変更されていたという。」
「調査委員会の委員長を務めた板東直樹・ソフトウェア協会フェローは県庁で開いた記者会見で、21年に徳島県の半田病院、22年に大阪急性期・総合医療センターで起きたランサムウェア被害と同様、セキュリティー対策の脆弱性が要因と説明した。これらの被害を受け、厚生労働省が医療情報システムのガイドラインの改定を繰り返しており、「病院関係者や(システム担当の)ベンダーらが真摯(しんし)にガイドラインを読み込んでいれば明らかに防げた。残念ながら人災だった」と結論づけた。」
「十分に防げた人災」岡山県精神科医療センターのランサムウエア被害で報告書(日経メディカル)(記事冒頭のみ)
