第70話 大阪急性期総合医療センターの教訓〜VPN境界

なぜパッチ適用していても感染したのか

１０月３１日に発生した大阪急性期・総合医療センターのランサムウェア被害について考察する。

重要な点は、同医療センターは昨年の半田病院のランサムウェア事故の教訓から、VPNルータなどシステム機器のセキュリティパッチを適用していたにも関わらず、電子カルテシステムや関連ネットワークが停止するという被害が発生したことだ。

大阪急性期・総合医療センター公式サイトより

その後の調査では、本医療センターと取引している給食センターがランサムウェアに感染し、このシステムとVPN接続をしていた本医療センターが感染したということがわかってきた。

確かに本医療センターのシステム内の機器はセキュリティパッチが適用はされていたが。しかしVPNで接続された給食センターではVPNルータのセキュリティパッチは適用が遅れ、その間に攻撃されていたのだった。

自社だけのパッチ適用は不充分だった！

ゼロトラストFTAが提唱する「脆弱性攻撃対策２大原則」とは
原則１　グローバルIP付与端末の重要なセキュリティパッチは最新に。
原則２　業務PCのセキュリティパッチとアンチウイルスは最新に。

一見、本医療センターはこの原則にも関わらずランサムウェアに感染したように見える。しかしVPN接続とは仮想敵なローカルネットワークであるため、この２原則は、給食センターシステムにも拡大して適用されるべきであった。

VPN接続先は自社のネットワークとして捉えよ

今回の教訓は「VPNで接続を許可する相手先の機器やネットワークは、自社のセキュリティ管理と同一である」ということである。
VPNで結ばれた二つのネットワークは、仮想的に同一なのだから、片方が汚染されれば、もう片方にも容易にその汚染が広がるということだ。

VPN接続を導入している企業は多いことだろう。セキュリティ責任者は今回の本医療センターのインシデントを機に、自社にVPN接続を許可している相手側ネットワークのセキュリティを確認して欲しい。

盲点となりやすいVPN接続先

たとえば下記のようなケースは盲点になりやすいだろう。

盲点１　私用PC
従業員が会社貸与PCではなく、（システム管理者がセキュリティ状況を把握していない）私用PCからでもVPNで社内に接続出来てしまう。

盲点２　海外事業所
海外の拠点事務所で現地スタッフが設置した（本社システム管理者がセキュリティ状況を把握していない）PCからでもVPNで本社に接続出来てしまう。

盲点３　取引先ネットワーク
取引先の（当社システム管理者がセキュリティ状況を把握していない）PCやサーバ機器から、VPNで当社に接続出来てしまう。（今回の大阪急性期・総合医療センターのインシデントのケース）

本社システム管理者がセキュリティ状況を把握出来ない端末や機器は自社システムへのVPN接続を許可するべきではない。
今回のように他社システムとの接続の場合は「脆弱性攻撃対策２大原則」の遵守について、最低でも書面で明確に定義することなどが必要だろう。

今回医療センターへの直接攻撃はRDPのブルートフォース攻撃であったと見られる。このためRDP側で、多要素認証などのブルートフォース攻撃対策を実施されていれば、今回の被害は防げた可能性は高い。
しかしそれは多層防御の第二層以降の防御であり、第一防御は「脆弱性攻撃対策２大原則」であることを忘れてはいけない。
そもそもの発端は給食センターシステムのVPNルータのセキュリティパッチ適用が遅れていたことにある。

今週の教訓

VPNの接続先の端末やネットワークのセキュリティは、自社と一蓮托生と考えるべき。