No283 医療機関のランサムウェア被害は避けられたのか?

えがおIT研究所

2022年10月末に、大阪の医療機関でランサムウェアによって電子カルテが暗号化されてしまうという事件が起きています。

現代の医療機関では電子カルテの利用で医療事務の大幅な省力化が可能となっています。医療機関からすれば、間接コストの削減の強力な武器といえます。

逆に言えば、電子カルテが使えなくなると、事務作業の遅滞だけでなく医療行為そのものすら危うくなってしまいます。

今回は医療機関に給食を納入している業者のシステム経由で侵入されたものと考えられています。

今回は、この大阪の医療機関でのランサムウェア被害のケーススタディとして解説をします。

事件の概要

この事件については現在も調査中ですので、この記事の内容は2022/11/13時点の情報に基づいています。また、一部の情報は筆者の推測によるもので、事実とは異なっている可能性があります。

この事件は大阪急性期・総合医療センター(以降医療センターと記します)に対してランサムウェアの攻撃が行われたものです。
攻撃により、電子カルテが暗号化され、業務が進められなくなりました。

ランサムウェアというのは、マルウェア(悪意のあるソフトウェアの総称。いわゆるウイルス)の一種です。
ランサムウェアの「ランサム」は身代金(ransom)を意味し、攻撃対象のシステムに侵入するとそのシステム内のデータを暗号化した後、復元するための金銭を要求します。
対象システム内のデータを人質とし、身代金を要求することから「ランサムウェア」と呼ばれるようになったものです。

医療センターでは、その日のうちに被害届を出しました。
また、身代金は支払わない方針とすることも決定されました。

現在は、大巾に診療範囲を限定し、紙のカルテで急場をしのいでいるという状況で、システム復旧の目拠は2023年1月とのことです。

侵入経路

さて、ランサムウェアによる被害があったということは、どこからかマルウェアが侵入したこととなります。

電子カルテシステムには機微な秘密情報ですので、外部ネットワークからアクセスできない場所に設置され、院内スタッフが利用できる端末(パソコン)も限定するのが通常です。

医療センターも同様の構成としていたと思われますが、どのようなルートで侵入されたのでしょうか?

現時点では、医療センターに直接侵入したのですはなく、給食を納入していた業者のサーバに侵入した上でそこから医療センターに侵入したという経路が疑われているとのことです。

では、給食の納入業者にはどのようなルートで侵入したのでしょうか?

報道によると、遠隔保守(リモートメンテナンス)契約用に設置していたVPN装置の脆弱性を狙られたのではないかと言われています。

そもそも、なぜリモートメンテナンスなどというものが必要なのでしょうか?
また、なぜリモートメンテナンスにVPN装置というものが必要なのでしょうか?

このVPN装置が今回の主眼ですので、少々寄り道となりますが説明しておきます。

リモートメンテナンスの難しさ

リモートメンテナンスというのは、機器のメンテナンスを現地に出張せずに行うことを示します。

コピー機のように磨耗するパーツが多い機器の場合は目視での確認やパーツ交換が必要ですから現地での作業が必要です。
一方、ネットワーク機器では清掃などは年に一度程度で十分で、保守作業のメインはトラブル発生時のログ確認、トラブル対応、アップデートなどです。つまり、現地に行かずともできる作業が中心です。

リモートメンテナンスにすれば、請負業者にすると出張が不要で低料金でサービスが提供できます。また、リモートメンテナンスであれば、トラブル発生時に連絡をすればその場で各サーバの状況確認が行えますので、トラブルが短時間で解消できることを期待できます。

業者側も病院側も双方にメリットのある方式なのです。
このWin-Winに見えるリモートメンテナンスですが、大きな落とし穴があります。

リモートメンテナンスを行うには、当然ながら病院外のインターネットから病院内のネットワークに接続する必要があります。
こういったリモートメンテナンスを実施するためには、VPN(Vitrual Private Network)装置と呼ぶ機器を導入するのが一般的です。

なお、VPN装置はリモートメンテナンスだけでなく、テレワークにもよく使われています。テレワーク経験者ならわかると思いますが、自社のサーバや端末に接続する時には最初に特別なソフトウェアを実行し、会社ネットワークに接続できるようにします。

この通信に使う入口は、インターネットに存在していますから、正規の利用者だけでなく犯罪者でも誰でも入ろうとすることができます。

もちろん、実際に社内ネットワークに接続するには、正しい接続IDとパスワードが必要ですが、入ろうと試みることは誰でもできるのです。

VPN装置を設置すると、リモートメンテナンスというメリットがある反面、誰でも侵入をしようと試みることができてしまうという、ダークサイドな面もあります。

ですので、VPN装置の導入後には、不正侵入の試みが起きていないことの確認やセキュリティアップデートの実施といった定期的な作業が必要となります。

VPN経由での侵入

VPN装置というのは、かなり以前から販売されているのですが、ここ数年のテレワークブーム(とコロナ騒動)によって爆発的に販売実績を伸ばしています。

そのため、犯罪者側から見ると「にわか仕立て」でセキュリティ設定の甘いVPN装置がたくさん存在しています。

実際、昨年(2021年)には徳島県の町立病院ではリモートメンテナンス用のVPN装置のメンテナンスが不適切だったため、ランサムウェアによって電子カルテが暗号化されてしまうという今回と似た事件が発生しました。

今回の事件でも、給食業者が導入しているVPN装置のバージョンが古く、そこから侵入されたのではないかという話が出ているようです。(現時点では未確定情報です)

給食業者は何をすべきだったか?

今回の事件では、大きく2つの側面があると筆者は考えます。

一つ目は納入業者側のリスク管理です。

今回VPN装置から侵入された原因はVPN装置のセキュリティアップデートを行っていなかったためではないかと言われています。
セキュリティアップデートを適切に行っていれば、今回の事件は避けられたようなのです。

セキュリティアップデートをしていなかった原因はいくつか考えられますが、一番ありそうなのは「機器の不適切な管理」でしょう。

情報機器、特にネットワーク機器は買ったままで放置してはいけません。
VPN装置を含めたネットワーク機器は常に新たな攻撃にさらされています。

特に外部と入口を持つVPN装置やルータは新たなアップデートが出ていないかを定期的(少なくとも月に一度)に確認する必要があります。

新たな攻撃方法が見つかれば、それをブロックできるソフトウェアアップデートが公開されます。その更新は自動的には行われませんから、所有者が自主的に行う必要があります。

アップデートを洩れなく行うには「社内の全ての情報機器リスト」を作成し、それを毎月メンテナンスすることです。自社で行えるスタッフがいないのなら、機器の納入業者に依頼してください。きっとリーズナブルな価格で受けてくれます。

また、社内の各部署に「情報機器を購入したら教えてね!セキュリティ事故になったら大変だから!そんな責任を負うのイヤでしょ?」としつこく周知することも重要です。

今回のように事件になってからでは遅いのです。
いくら本業が順調でも、こんな事件が起きれば会社がふっとびかねません。

情報機器の管理というのは単に資産管理をすることではなく、適切にアップデートを行い事故を防ぐためには決定的に重要です。

この業者も被害者であり気の毒な面はありますが、アップデートを放置してしまった過失はかなり重く受けとるべきです。

皆さんの組織でも「ヤバい」とお考えならスグにでも機器リストを作って情報機器管理を始めてください。

医療センターは何をすべきだったか?

今回の攻撃はサプライチェーン攻撃と言えます。

ここで異和感を覚える方もおられるかと思います。
一般的にサプライチェーンと言えば、次のような説明がなされることが多いからです。

「サプライチェーンとは、このように製品や商品が生産者から消費者に届くまでの一連の流れのことをいいます。」(出典:みんなの仕事Lab https://lab.pasona.co.jp/trade/word/1049/

サプライチェーンと言われると製造業や流通業のイメージが強かったのですが、筆者も今回で考えを改めました。

現代は、病院のようなサービス業でも他組織との連携は必須でサプライチェーン攻撃の対象となるとこうことです。

となりますと、医療センター側はサプライヤー(供給元)とのネットワーク接続に際してはかなり厳格な審査が必要となります。

この「がんばりすぎないセキュリティ」ではあまり教科書的な書き方はしていませんが、今回のような重大トラブルが起きますと、ある程度の審査をせざるを得ないのかと考えさせられてしまいます。

まとめ

2022年10月末に大阪の医療機関で電子カルテが全て暗号化されてしまい、業務が進められなくなるという事件が起きました。

これを書いている11月13日時点ではまだ調査中の点が多いのですが、給食の納入業者が侵入され、そこを踏み台として侵入が行われた様子です。

今回の侵入経路はサプライチェーン攻撃のパターンとなりますが、病院のようなサービス業であっても、製造や流通と同様にサプライチェーン攻撃に備える必要があることを示しています。

今回もそうなのですが、情報セキュリティのトラブルは「一番弱いところが攻撃を受ける」ことを示しています。

通常、一番弱いところは中小企業です。

このメルマガでも9月に書きましたが、「ウチは大丈夫」は通じない時代になってきているのです。
  No276 「ウチは大丈夫」が危険な理由
  https://note.com/egao_it/n/nfb0c9b6f516a

現代は中小企業といえど情報セキュリティ対策が必須な時代なのです。

今回は医療機関でのランサムウェア被害について解説をしました。
次回もお楽しみに。

(本稿は 2022年11月に作成しました)

本Noteはメルマガ「がんばりすぎないセキュリティ」からの転載です。
当所はセミナーなどを通して皆さんが楽しく笑顔でITを利用いただくために、 難しいセキュリティ技術をやさしく語ります。
公式サイトは https://www.egao-it.com/ です。

この記事が気に入ったらサポートをしてみませんか?