アイルランド公的医療機関のサイバーインシデントから学んだこと

POPO

2021年にアイルランドの病院で起こった大規模サイバーインデント、患者の重要な情報にアクセスできなくなるなど、人命に影響が及ぶ重大なインシデント。この様なインシデントが、日本を含め世界中で起こっている。医療特有の難しさ、医療システムの特殊性、高額な医療システム、医師中心の経営体制、そう言うことを言い訳にせず、人命を預かる機関であることを最優先に取り組む必要があるのだろう。

https://www.hhs.gov/sites/default/files/lessons-learned-hse-attack.pdf

議題
• HSE サイバー攻撃の背景
• Conti ランサムウェアの脅威プロファイル
• Conti ランサムウェアに関する HC3 の観察結果
• 事件のタイムライン
• 主な調査結果
• 医療機関向けの一般的な要点

HSEサイバー攻撃の背景
• アイルランド保健サービス行政 (HSE) は、アイルランド保健省が管轄する国の公的資金による医療制度であり、HSE の管轄下にある 54 の公立病院と、国の IT インフラストラクチャを利用するボランティアの病院で構成されています。

2021 年 5 月 14 日、HSE は大規模なランサムウェア サイバー攻撃を受け、全国のすべての IT システムがシャットダウンされました。
• これは、アイルランドの国家機関に対する最も重大なサイバー攻撃であり、また、新型コロナウイルス感染症のパンデミック中に発生した、医療サービスのコンピューター システムに対する既知の攻撃としては史上最大のものとなりました。
• 攻撃から完全に回復するまでに 4 か月かかり、HSE はこの期間中に医療提供に多くの影響を及ぼしました
• このインシデントの原因は Conti ランサムウェアでした。
• 2021 年 12 月 3 日、HSE は、この概要の基礎となる 157 ページの編集された報告書で構成される独立事後事後レビューを発行しました。
• HSE に対する Conti サイバー攻撃の完全なレポート:

https://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf


HSE サイバー攻撃の注目を集める影響

• 病院スタッフは紙とペンの使用に戻ることを余儀なくされた
• HSE IT 環境の 80% が暗号化され、国中の医療サービスに重大な混乱が生じた
• 診断や医療記録へのアクセスの阻止
• 新型コロナウイルスワクチン接種を受けた数千人の個人情報を暴露
• 国のワクチン接種プログラムは影響を受けなかった
• 保護された医療情報 (PHI) を含む 700 GB の暗号化されていないデータが流出
• 専門家は盗まれた HSE データを米国の商用サーバーまで追跡しました。
• 患者ケアの中断に対する患者からの訴訟
• インシデントに対応するための多額の経済的コスト
• もっと...

  サイバー脅威プロファイル: Conti ランサムウェア

マルウェア
• 最初に浮上: 2019 年 12 月
• 前任者と思われる人物: リューク
• マルウェアの機能: 主にローカル ファイルを暗号化する C/C++ で書かれたランサムウェア
• 対象となるシステム: 影響を受けることがわかっている Windows のすべてのバージョン
• 関連するマルウェア/ツール: TrickBot、IcedID、Cobalt Strike、BazarLoader、Zloader、Rclone、LaZagne、Sidoh など。
• 感染ベクトル: スピアフィッシング。 リモート デスクトップ プロトコル (RDP)。 電話; 偽のソフトウェア。 他のマルウェア。 外部資産 (Log4j など) の一般的な脆弱性
グループ
• 原産地:東ヨーロッパ、ロシア連邦
• 業界名: Wizard Spider
• 関連アクター: UNC1878、TEMP.MixMaster、Grim Spider、UNC2633、UNC2727
• フォーラムの存在: パブリックおよびプライベートのフォーラム
• 対象国: 米国、フランス、ドイツ、カナダ、英国、イタリア、オーストラリア、スペイン、オランダ
• 対象業界: 製造、建設、小売、法律、金融、テクノロジー、自動車、接客業、輸送、エネルギー、ヘルスケア
• ステータス: Conti は、2021 年 12 月に完全な攻撃チェーンで Log4j2 を武器化した初のプロフェッショナル グレードの洗練されたランサムウェア グループになりました。
• 分類: 高度に洗練された、金銭目的のサイバー犯罪用ランサムウェア・アズ・ア・サービス (RaaS) プログラム。 人間が操作する
• HPH セクターへの脅威: リスクの上昇

世界の HPH 部門における過去の Conti ランサムウェア インシデント (2021)

• HC3 は、2021 年に Conti ランサムウェアに関連する少なくとも 40 件のランサムウェア インシデントを追跡しました。
• ヘルスケア業界の対象国には、オーストラリア、コロンビア、フランス、ドイツ、インド、イタリア、オランダ、英国、米国が含まれます。
• 米国の少なくとも 20 州の HPH 団体が Conti ランサムウェア インシデントを経験したか、Conti ランサムウェア恐喝ブログに登場した
• 影響を受けるヘルスケアのサブ産業には、バイオテクノロジー、保健または医療クリニック、ヘルスケア産業サービス、在宅医療サービス、ホスピスまたは高齢者ケア、病院、製薬産業、公衆衛生機関が含まれます。
業界内訳: Conti ランサムウェア インシデント (2021 年)
公衆衛生バイオテクノロジー 5% 5%
製薬産業 14%
病院 5%
在宅医療または介護サービス
10%
健康または医療クリニック
32%
ヘルスケア産業サービス
29%
6

  感染前のタイムライン: 2021年3月18日から5月14日まで

出典: HSE/PwC
7

  感染後のタイムライン: 2021 年 5 月 14 日から 9 月 21 日まで

出典: HSE/PwC
8

主な調査結果: ランサムウェア攻撃への備え

• 事件発生時、HSE には上級幹部レベルまたは管理レベルでサイバーセキュリティの責任者が一人もいませんでした。
• サイバーセキュリティおよび HSE のサイバーリスクエクスポージャーを軽減するために必要な活動の指示と監督を提供する専門の委員会は存在しなかった。
•主要なサイバーセキュリティ管理には既知の弱点とギャップがありました。
• HSE にサイバーセキュリティ フォーラムが存在しないため、詳細なサイバー リスクの議論と文書化、および軽減策を特定して実行する能力が妨げられました。
• HSE には、サイバーセキュリティのリスクと制御を管理する集中的なサイバーセキュリティ機能がありませんでした。
• サイバーセキュリティを担当するチームのリソースが不足していることは既知の問題でした。
• HSE のテクノロジーは有機的に成長しており、その結果、過度に複雑になり、サイバー攻撃に対する HSE の脆弱性が増大しています。
• HSE には、National Healthcare Network (NHN) に接続されている多くの組織を網羅する、大規模かつ不明確なセキュリティ境界がありました。
• HSE の実効的なセキュリティ境界は、サイバーセキュリティ制御を義務付ける能力と一致していませんでした。
• HSE の IT 環境全体でセキュリティ アラートを検出、調査、対応できる効果的なセキュリティ監視機能がありませんでした。
• エンドポイント上の脅威を検出して防止するために、ウイルス対策ツールに過度に依存していました。
• IT 環境には、人間によるランサムウェア攻撃の検出と防止に最も効果的なサイバーセキュリティ制御の 28 個のうち 25 個に関連する高リスクのギャップがありました。
• HSE は文書化されたサイバーインシデント対応計画を持っておらず、技術的な対応の実行などの典型的な準備活動を実行していませんでした。

主な調査結果: ランサムウェア攻撃への対応

• 攻撃者が騒々しい「非ステルス」アクションを実行したにもかかわらず、サイバー攻撃は積極的に特定されず、ランサムウェアの実行前に封じ込められませんでした。
• HSE のウイルス対策は、2021 年 5 月 7 日に 6 台のサーバー上でランサムウェア グループ (Cobalt Strike) が一般的に使用するツールを特定しました (さらに翌日にはさらにいくつかのサーバーでも) が、これらのアラートは適切に対処されませんでした。
• 2 つのボランティア病院がランサムウェアの実行前に不審な活動を特定しましたが、HSE による一元的な対応は開始されませんでした。
• 2 つの組織は、攻撃者の検出に基づいて適切に行動し、組織内でのランサムウェアの展開を阻止しました。
• HSE はサードパーティの支援を得て、ランサムウェア攻撃への対応を動員し、新型コロナウイルス感染症を含む危機に対応した経験を活かして、ランサムウェア攻撃がもたらした重大な課題の多くを克服しました。
• HSE は、インシデントの初期の数週間は、対応活動の構造を提供するためにサードパーティに依存していました。
• 影響の大きいテクノロジー イベントに対する事前計画が欠如していたために、対応中に時間が失われました。
• この情報が中央またはオフラインのアプリケーション レジスタに記録されておらず、最新の情報になっていなかったため、HSE は応答中にアプリケーションに関する情報を収集するのにかなりの時間を費やしました。
対応中は特定の個人に大きく依存していました。 これにより、回復スケジュールが予想よりも長くなる原因となった可能性があります。
• この対応では、臨床リスクとエンドツーエンドの臨床サービスの回復に重点を置いたアプローチに進む前に、当初は基本システムの回復と必須サービスのリストにあるアプリケーションを優先しました。
• 医療サービス全体の危機が発生した場合、HSE、病院、地域医療機関 (CHO) の間に明確に定義され、線引きされた意思決定権限が欠如していた。
• OCIO は、アプリケーション、システム、サービスを迅速に復旧するための延長対応中に、病院や CHO が必要とする規模の IT サポートを (サードパーティのバースト キャパシティを通じて) 提供または調達できませんでした。
• HSE は、独自のツールを使用して攻撃を調査する能力が限られているか、まったくありませんでした。
• HSE のインシデント対応プロバイダーは、攻撃者がどのようにして HSE の IT 環境に不正アクセスしたのか、および攻撃者のその後の活動を示す証拠を特定しました。

• IT 環境に対するランサムウェアの影響は、80% の暗号化につながると HSE の管理者によって報告されました。
• HSE はオンプレミスの電子メール システム (Exchange を含む) をほぼ独占的に使用していたため、ランサムウェア攻撃が通信に与えた影響は深刻でした。このシステムは暗号化されており、攻撃中は利用できませんでした。
• HSE は、システムの電源を切り、NHN をインターネットから切断することで、ランサムウェア攻撃を阻止する措置を講じました。
• 復号化キーが利用可能になっていなかったら、どれだけのデータが失われていたかは不明です。
• 復号化キーがなければ、バックアップからシステムを回復するのにどれくらいの時間がかかったかは不明ですが、おそらくかなり長くかかっていたでしょう。
• HSE は準備不足により、システムとアプリケーションのリカバリを効率化する機会を逃しました。

医療機関向けの一般的な要点

ガバナンスとサイバーセキュリティのリーダーシップ

  1. テクノロジーへの依存性とテクノロジーリスクのガバナンスの理解

  2. サイバーセキュリティ戦略とリーダーシップ

  3. ランサムウェア固有の評価

  4. 効果的なサイバーセキュリティの監視と対応

  5. 模擬攻撃によるサイバーセキュリティ能力のテスト
    対応して回復するための準備

  6. サイバーセキュリティ特有のインシデント対応および危機管理計画

  7. ランサムウェア シナリオの事業継続計画と IT 災害復旧計画

  8. インシデントおよび危機対応の継続

References

  • Coble, Sarah. 2021. HSE Missed Cyber-Attack’s Warning Signs. December 10. Accessed January 26, 2022. https://www.infosecurity-magazine.com/news/hse-missed-cyberattacks-warning/.

  • Colgan, Laura. 18. Cybercrime group known as 'Wizard Spider' hackers behind Ireland HSE ransomware attack. May 2021. Accessed January 26, 2022. https://www.irishmirror.ie/news/irish-news/crime/cybercrime- group-known-wizard-spider-24128295.

  • Corera, Gordon. 2021. Irish health cyber-attack could have been even worse, report says. December 10. Accessed January 26, 2022. https://www.bbc.com/news/technology-59612917.

  • Corfield, Gareth. 2021. Irish Health Service ransomware attack happened after one staffer opened malware-ridden email. December 10. Accessed January 26, 2022.https://www.theregister.com/2021/12/10/ireland_health_conti_ransomware_attack_report/.

  • Daly, Ailbhe. 2021. Private information of thousands who received Covid vaccine exposed in HSE blunder. February 25. Accessed January 26, 2022. https://www.irishmirror.ie/news/irish-news/health-news/private- information-thousands-who-received-23566568.

  • Davis, Jessica. 2021. Ransomware post-mortem: Ireland HSE cyberattack, recovery dogged by missteps. December 14. Accessed January 26, 2022. https://www.scmagazine.com/analysis/backup-and- recovery/ransomware-post-mortem-ireland-hse-cyberattack-recovery-dogged-by-missteps.

  • Gallagher, Conor. 2021. Garda specialists tracked stolen HSE data to commercial server in US. December 22. Accessed January 26, 2022. https://www.irishtimes.com/news/crime-and-law/garda-specialists-tracked- stolen-hse-data-to-commercial-server-in-us-1.4761457.

  • Gatlan, Sergiu. 2021. Conti ransomware also targeted Ireland's Department of Health. May 17. Accessed January 26, 2022. https://www.bleepingcomputer.com/news/security/conti-ransomware-also-targeted- irelands-department-of-health/.

17

References

  • McCurry, Pat Flanagan and Cate. 2021. Fears data leak from HSE hack has begun as reports of fraud calls begin to circulate. May 24. Accessed January 26, 2022.https://www.irishmirror.ie/news/irish-news/fears- data-leak-hse-hack-24176617

  • McGee, Marianne Kolbasuk. 2021. Report Dissects Conti Ransomware Attack on Ireland's HSE. December 10. Accessed January 26, 2022. https://www.govinfosecurity.com/report-dissects-conti-ransomware-attack- on-irelands-hse-a-18102.

  • McNamee, Michael Sheils. 2021. HSE cyber-attack: Irish health service still recovering months after hack. September 5. Accessed January 26, 2022. https://www.bbc.com/news/world-europe-58413448.

  • McQuinn, Cormac. 2021. Cyberthreat healthcare alert came months before HSE hit by hackers. December 27. Accessed January 26, 2022. https://www.irishtimes.com/news/politics/cyberthreat-healthcare-alert- came-months-before-hse-hit-by-hackers-1.4762997.

  • O'Regan, Eilish. 2021. HSE failed to respond to alerts of malicious activity before crippling cyber attack, report reveals. December 10. Accessed January 26, 2022. https://www.independent.ie/irish- news/health/hse-failed-to-respond-to-alerts-of-malicious-activity-before-crippling-cyber-attack-report- reveals-41137550.html.

  • —. 2021. HSE given stolen data, including medical records, taken by criminals during cyber attack in May. December 20. Accessed January 26, 2022. https://www.independent.ie/irish-news/news/hse-given-stolen- data-including-medical-records-taken-by-criminals-during-cyber-attack-in-may-41167881.html.

  • PwC. 2021. Conti Cyber Attack on the HSE. December 03. Accessed January 26, 2022.https://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf.

  • RTE. 2021. HSE still 'very compromised' following cyber attack. May 26. Accessed May 26, 2022. https://www.rte.ie/news/health/2021/0526/1223933-hse-cyber-attack-latest/.

この記事が気に入ったらサポートをしてみませんか?