大阪急性期・総合医療センターが前年10月のランサムウェア被害に関する調査報告書を公開 「全ユーザーに管理者権限を付与」
大阪急性期・総合医療センターは2022年10月に発生したサイバーセキュリティインシデントに関する調査報告書を公開した。インシデント発生時の詳細なタイムラインに加え、システム停止の原因や再発防止策が記載されている。
大阪急性期・総合医療センターは2023年3月28日、2022年10月に発生したサイバーセキュリティインシデントに関する調査報告書を公開した。
同組織はサイバー攻撃を受けて一時期、電子カルテを含めた総合情報システムが利用できなくなった結果、緊急以外の手術や外来診療の一時停止など通常診療ができない事態に陥っていた。調査報告書には、システム停止の原因やインシデント対応の詳細などが記載されている。
病院を襲ったランサムウェア攻撃の詳細と今後の予防策
報告書によると、大阪急性期・総合医療センターはもともとサイバー攻撃によるシステム障害を想定したBCP(事業継続計画)を策定していなかった。ただし、サイバー攻撃ではない他の災害を想定した事業継続計画の整備および更新には取り組んできたことから、そうした経験に基づいて状況の把握や当面の医療継続の方針などを決定した。
大阪急性期・総合医療センターは報告書の中で、電子カルテの異常覚知によって、ランサムウェアによる重大なシステム障害が発生したと説明している。調査結果から推定されるサイバー攻撃者の侵害タイムラインは以下の通りだ。
■侵害のタイムライン
No | 項目 | 攻撃者の手順 |
---|---|---|
1 | 給食事業者に侵入 | 給食事業者が設置・運営する給食システムに、情報基盤構築事業者がリモート保守のために設置したVPN機器の脆弱(ぜいじゃく)性を用いて侵入(漏えいされ公開されていたID・パスワード情報を用いて侵入された可能性もある) |
2 | 給食事業者内探索・情報窃取 | 給食事業者内データセンターのIDやパスワードが脆弱だったことから、攻撃者に容易に不正アクセスされ、その後、システム情報(IPアドレスやパスワード情報など)を窃取されたため給食事業者内での攻撃拡大 |
3 | 病院給食サーバ侵入 | 給食事業者の端末から窃取した病院のサーバの認証情報により、RDP通信を用いて、病院給食サーバに侵入。ウイルス対策ソフトのアンインストールも実施した |
4 | 病院内のシステム情報の窃取 | 病院給食サーバを踏み台に、病院内の他サーバの認証情報をツールを用いて窃取した。なお、病院給食サーバと他サーバのIDやパスワードは共通で窃取は容易 |
5 | 他サーバ侵入 | 病院給食サーバで窃取した他サーバ認証情報によって、電子カルテシステムなどの基幹システムや他のシステムのサーバに侵入 |
6 | クライアントへのログオン試行 | 侵入されたサーバなどを経由して、クライアントにログオン試行した可能性がある |
7 | ランサムウェア感染 | 各サーバでランサムウェア感染、永続化を実施してランサムノート(身代金要求文書)を表示 |
大阪急性期・総合医療センターは、大阪府立病院機構本部や大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局など関連組織に連絡を取るとともに、関連各所と連携して原因の究明と復旧に取り組んだ。
その結果、同報告書では、今回のインシデントの技術的発生要因は、サプライチェーンのVPN機器の脆弱性が放置されているといった外部接続機器の管理不備や、全てのユーザーに管理者権限を与えるといった脅威の横展開(ラテラルムーブメント)を許してしまうシステムの初期設定などにあるとしている。
大阪急性期・総合医療センターは、上記に対する再発防止策としては「機器ごとに管理者と設置者が互いに保守の範囲や脆弱性管理の役割分担などについて文書により確認する」「ユーザーは管理者権限のない標準ユーザーアカウントに設定する」などを挙げた。
同報告書はその他、インシデント発生を招いた組織的発生要因として、ITガバナンスの欠如を挙げており、セキュリティベンダーとの間の責任分界点が不明確だったことやリスク評価が関係者間で十分に実施されていなかったことなどが明らかになっている。
同院は上記の予防に向け「契約ごとに、受注者と『医療情報を取り扱う情報システムサービスの提供事業者における安全管理ガイドライン(総務省・経済産業省)』に基づいたサービス仕様適合開示書及びサービスレベル合意書(SLA)により双方の責任分界点や役割を明確にし、文書化すること」を提案している。
大阪急性期・総合医療センターは障害発生から約6週間で電子カルテシステムを含む基幹システムを再稼働させることができたとし、外来での電子カルテ運用を再開したと説明している。2022年12月中には病棟における電子カルテ運用の再開、2023年1月11日には通常診療にかかる部門システムも再開したとしている。
同院は今後、ITガバナンスの確立に取り組むと説明するとともに、厚生労働省といった行政からの具体的な支援や指導が不可欠であるといった意見を述べている。
関連記事
- 大阪急性期・総合医療センターへのランサムウェア攻撃、給食委託事業者通じて侵入か
大阪急性期・総合医療センターが会見を開き、ランサムウェア攻撃による電子カルテシステムの障害について続報を発表した。同会見でランサムウェアの侵入経路と病院基幹システムの復旧めどが明らかになった。 - 大阪急性期・総合医療センターにランサムウェア攻撃 復旧のめど立たず
大阪急性期・総合医療センターがランサムウェアによるサイバー攻撃被害を発表した。この影響により電子カルテシステムで障害が発生しており、本稿執筆時点で復旧のめどは立っていない。 - NISC結城氏が警鐘 重要インフラのサービス停止要因から学ぶランサムウェア対策
重要インフラを標的にしたサイバー攻撃が激化する今、重要インフラ事業者とサイバー関連事業者はそれぞれどのような対策を進めればいいのだろうか。NISCが定める「重要インフラのサイバーセキュリティに係る行動計画」から有効策を探る。 - サイバーセキュリティ経営ガイドラインが改訂 サプライチェーンリスクに対する実践的な項目を追加
経産省は経営者がサイバーセキュリティ対策において認識すべき内容をまとめた「サイバーセキュリティ経営ガイドライン」を改訂した。多様化および巧妙化するサイバーセキュリティ攻撃に対処する狙いがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.