全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制

[ITmedia]

　2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。

攻撃の手順と被害状況

　問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。

　攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。

　攻撃者は給食事業社のシステム内で得た認証情報を使ってセンターの病院給食サーバに侵入してウイルス対策ソフトをアンインストール。攻撃の範囲を拡大し、基幹システムサーバの暗号化に至った。

　調査報告書では、被害の原因として以下を挙げている。

• VPN機器の脆弱性を放置していた
• リモートデスクトップツールを常に稼働させていた
• 全ユーザーに管理者権限を与えていたため、攻撃者も管理者権限で行動できた
• サーバやPCのログインIDとパスワードが全て共通だった
• 一定時間でアカウントがロックされるように設定していなかっため、ログイン試行を繰り返せる状態にあった
• 電子カルテシステムのサーバにウイルス対策ソフトを設定していなかった

　他にも、関係事業者間で責任分界点の明確化ができていなかった、リスク評価ができていなかったなどの問題もあったという。

　大阪急性期・総合医療センターは調査で提示された具体的な再発防止策について「ITガバナンスの確立に全力で取り組んでいく」としている。