昨年10月に徳島県つるぎ町の町立半田病院で起きたLockbit2.0によるランサムウェア攻撃について、同病院のコンピューターウイルス感染事案有識者会議(会長・森井昌克神戸大学大学院工学研究科教授)がこのほど事案の詳細をまとめた報告書を発表しました。この報告書を読む限り、暗号化されたデータがどのような方法によって復元されたのか定かではありません。
届いていなかったVPN脆弱性リスク
半田病院に対するランサムウェア攻撃は昨年10月31日未明に院内の複数のプリンタからデータ窃取と暗号化を告げる文書が大量に印刷されたことで発覚しました。このランサムウェア攻撃により病院機能はマヒし、通常診療が再開できるようになるまでに2カ月間を要しました。システム復旧にかかった費用は2億円にのぼったということです。コンピューターウイルス感染事案有識者会議は、サイバー攻撃を受けて課題の洗い出しや再発防止策を検討することを目的に今年1月14日に病院に設置されました。神戸大学大学院工学研究科教授の森井昌克氏が会長を務め、一般社団法人ソフトウェア協会理事や徳島県政策課長、つるぎ町副町長らが委員を務めています。
有識者会議は今年2月4日に第1回会議を開き、これまでに計4回の会議と3回の現地調査などを経て6月7日に調査報告書を発表しました。報告書では経緯や原因、浮き彫りになった課題や再発防止策などについて詳しく記されています。報告書によると半田病院のシステムは、システムの基礎的なインフラを地元のシステム業者が担い、その上に電子カルテのシステムを専門業者が構築していたようです。ランサムウェア攻撃は、フォーティネットVPNの脆弱性CVE-2018-13379を悪用して行われたようです。この脆弱性については昨年1月に「脆弱性を放置したままのフォーティネットVPNホスト」の記事でお伝えしたようにJPCERTや内閣サイバーセキュリティセンターが注意を喚起していたものですが、システムを担う業者間の責任分担が明確ではなく、脆弱性が放置されてしまったようです。経産省ではVPNの脆弱性対応に関し「運用体制や責任が不明瞭なケースが多い」と注意を喚起していましたが、こうした呼びかけもまったく届いていなかったと言えます。
インシデント調査会社が独自にデータ復元
この報告書を読んで驚いたのが、データの復旧に関し「詳細は把握できなかった」と記載している点です。報告書によると暗号化されたデータのうち2018年までにオフラインで保管していたバックアップデータを除いた分については、フォレンジックを請け負った東京のインシデント調査会社が独自に復元を行ったようです。報告書はこの企業のデータ復元について「最終的な復旧方法はB社の独自の調査のため詳細は把握できなかった」とした上で、「何かしらの方法で必要な手段を入手し、データの復元を行った可能性がある」「修復プログラムではなくデータ復元に必要な手段を入手したと考えるのが妥当」などと記しており、また、この会社がデータ復元の方法を明らかにしていないことについて「セキュリティの初心者であるユーザーへの説明不備」だと批判しています。
このインシデント調査会社は、半田病院のシステムを担っている地元のシステム会社の紹介でフォレンジック等を請け負ったようですが、データの復元にとどまらず、フォレンジックの質や実施方法、対象端末を病院外に持ち出して調査を行ったことやネットワークに接続して端末のウィルススキャンを指示したことなど、報告書はこの会社の対応に不信感とも言える記述をしていて気になります。今回のランサムウェア攻撃に対して病院は身代金支払いをしない方針を決めており、報告書においても「支払った事実はない」としていますが、脅迫文は発覚当初にプリンタによる出力があっただけで、データの公開は確認されておらず、その後の身代金要求も確認されていないということです。
「折衝は定かではない」は何を意味するのか
海外のケースで言えば、2020年12月29日付の記事「ランサムウェア攻撃者と被害企業の『仲介』業者とは?」で紹介しましたが、データリカバリーやフォレンジック業務をうたった業者が被害企業に代わってランサムウェア攻撃者と交渉して身代金支払いをしているケースがあります。被害企業は身代金を支払わずにデータを復旧することができ、攻撃者は実質的な身代金を得て、業者は相応の仲介料を得ることができそれぞれに旨味があることからこうした「ビジネス」が生まれるわけですが、実質的にサイバー犯罪に加担しています。報告書はデータの公開がないこと、身代金要求が最初に限られていることを記した上で、「B社の折衝は定かではない」と記しています。B社とはフォレンジックやデータを復旧したインシデント調査会社のことですが、ここで言う「折衝」は何を意味しているのでしょうか?大いに気になるところです。
■出典
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf