知って得するセキュリティのはなし その166
VPN装置の脆弱性から侵入、アンチウイルスは無効化…半田病院サイバー攻撃事案の報告書発表
1.このニュースをザックリ言うと
- 6月7日(日本時間)、徳島県つるぎ町立半田病院より、昨年10月に発生した同病院へのサイバー攻撃事案に関する報告書が発表されました。
- 同病院の電子カルテシステムがランサムウェア「Lockbit2.0」に感染し、今年1月4日の通常診察再開までの間、カルテの閲覧をはじめ各種業務に支障をきたす事態となったものに対し、外部の有識者を交えた会議による調査・分析結果等となっている他、コンピュータソフトウェア協会のSoftware ISACによる「情報システムにおけるセキュリティ コントロール ガイドライン」も併せて発表されています。
- 攻撃者が侵入した経路としては、米Fortinet社製のVPN装置が更新されていないことにより、機器の脆弱性を突かれた可能性が高いとされていますが、周辺のシステム環境や運用体制にも様々な問題があったことが明らかになっています。
2.執筆者からの所感等
- 侵入のために悪用されたとされる脆弱性「CVE-2018-13379」は2019年5月に発表、セキュリティアップデートがリリースされていたものですが、攻撃発生直前の2021年9月には国内外の未対策のVPNホスト約87,000台へ不正アクセスするためのパスワード情報が攻撃者によって公開されたとしてFortinet社から注意喚起が出される等、深刻な問題となり続けていたものです。
- 「内部LANは安全である」という認識のもと「(電子カルテシステムの導入時に不具合が生じたという理由で)アンチウイルスソフトが無効にされる」「端末のパスワードが最短で5桁、ロックアウト等もなく総当たり攻撃による不正ログインが可能な状態」といった問題が発生していたこと等が報告書に記載されていた一方で、一部報道等により、コスト節約のためベンダーとの適切な保守契約を結んでいなかったとみられる節があることに対する指摘の声もある模様です。
- 奇しくも6月19日には、同じく徳島県の鳴門市の病院がランサムウェアに感染する被害を受けていますが、こちらは幸いにもオフラインバックアップからの速やかな復旧が行われたとの発表があり、半田病院の事案を他山の石としたものと見受けられます。
- ともあれ、病院のみならずあらゆる会社・組織において、今回の報告書およびセキュリティコントロールガイドラインをもとに、自組織のシステムがマルウェアや各種攻撃への十分な耐久力あるいは速やかな復旧等の体制が整っているかの見直しを図る等の行動を是非ともとって頂ければ幸いです。