昨年5月に起きた地方独立行政法人岡山県精神科医療センター(岡山市、来住由樹院長)へのランサムウェア攻撃に関し、調査を行ったSoftware ISACの調査委員会が最近、報告書を発表しました。「閉域網」への過信がセキュリティ意識を希薄にし、サイバー犯罪者につけ込まれる隙を生んだようです。
「医療関係者とベンダーが作り上げた神話」
調査報告書によると、岡山県精神科医療センターは精神科、児童精神科、心療内科の診療科目のある病床数255床の病院です。本院のほかに診療所があり、本院と診療所にはそれぞれネットワークが構築されています。また、別に電子カルテや医事会計などを司るデータセンターのネットワークが構築されており、本院と診療所のネットワークをデータセンターのネットワークとそれぞれ接続して医療行為が行われているようです。ネットワークは閉域網で構築されており、病院のネットワークは基本的に外部インターネットから侵入できない環境でした。
被害を受けた箇所
=「ランサムウェア事案調査報告書(地方独立
法人 岡山県精神科医療センター)」より転載
ただし「基本的に」であって、データセンターのネットワークには保守用のSSL-VPNが設置されていたので、正確には外部から認証による接続が可能だったということです。つまり保守用の「裏口」があったわけですが、この「裏口」を使うのは業者という意識がセキュリティを希薄にしたようです。病院スタッフがネットワークに接続する際のID、パスワードは特定の推測可能なID、パスワードを使い回して使用し、また、すべてに管理者権限が付与されていたということです。侵入の手口について報告書は特定していませんが、可能性として①保守用SSL-VPNへの辞書攻撃②窃取されて売買された資格情報が使われた➂保守用SSL-VPNの脆弱性の悪用の3点をあげています。
ネットワーク空間をオフィスに例えるなら、病院医師やスタッフだけが使っているオフィスという意識があったため、デスクを施錠していなかったり、1つのカギですべての引き出しが開いてしまうような使い方をしていたということです。ところがその部屋には清掃業者用の小さなドアが設置されていて、そのドアのカギが盗まれたか、脆弱な箇所から犯罪者は侵入、施錠していなかったデスクの内部まで荒らされてしまった状況と言えそうです。報告書によると、こうした実態は岡山県精神科医療センターにとどまらず国内の医療機関では少なからず似た状況があるようです。報告書は「医療関係者とベンダーが自ら作り上げた閉域網神話によって、社会一般においてごく当然に行われているセキュリティ対策や脆弱性対策が放置されている」と厳しく指摘をしています。
海外では医療機関に対するランサムウェア攻撃で深刻な被害が出ており、患者の死亡につながったケースもあります。そのような状況の中で日本の多くの病院が閉域網神話の上で病院の運営を行っているとすればこれはかなりリスキーな状況だと言えるでしょう。監査を強化するなどなんらかの対策が必要なのではないかと思います。
警察指摘の情報流出、病院の独自調査では確認できず
この病院へのランサムウェア攻撃では、昨年6月11日に病院が県庁で記者会見を行い要配慮個人情報が流出したことを明らかにしたということです。報告書によるとこの流出情報は岡山県警から提供され、流出データの内容は病院長も確認しているようですので間違いはないと考えられますが、警察は病院に流出先の詳細について明らかにしておらず、病院は流出先について独自に調査したものの把握できなかったようですのでやや不可解な印象を受けます。報告書によると病院は暗号化されたファイルの拡張子からランサムウェアを特定し、そのランサムウェアのリークサイトをひと通り確認し、さらに専門の業者にダークウェブの監視を依頼するなどして漏洩データを探したものの患者情報等の漏洩は確認できていないということです。
またこの報告書ではランサムウェアの具体的な種類については何も触れていません。どのようなランサムウェアによって攻撃が行われたのかが明らかでなければ、いかなる勢力が日本の病院を標的にしているのかわからず、社会に対する警鐘として十分とは言えません。アメリカの関係機関のサイバー攻撃に関する発表や報告書では、マルウェアの種類から攻撃の手法、背後のサイバー攻撃集団まで可能な限り詳細を明らかにして具体的なセキュリティ対策を示しています。ランサムウェアによる攻撃は通常、海外から行われており、犯行グループの検挙には国際捜査が伴います。一般の刑事事件の捜査では犯人逮捕が優先されるために警察は捜査にかかる情報を明らかにしませんが、ランサムウェアのようなサイバー攻撃においては、相応の事情がない限りマルウェアに関する情報や攻撃手法については速やかに開示する方が社会を守るという観点からのぞましいのではないかと思います。