国分生協病院は鹿児島県霧島市にある病床数129床の地域医療を担っている病院のようですが、同病院が発表したリリースによると、ランサムウェア攻撃を受けて画像管理サーバーが正常運用できなくなっているとのことです。病院はデータ流出の可能性が否定できないことから個人情報保護委員会に報告を行ったということです。(※写真と本文は関係ありません)
2月27日深夜から攻撃
国分生協病院は2月28日に「システム障害に伴う休診について」と題したリリースを発表し、「電子カルテシステムに障害が発生し、当面の間一般外来の診療は休診します」とお知らせしていました。その後、3月4日に続報のリリースを発表、「この間の復旧作業により、電子カルテシステムや会計システム等は復旧しておりますが、全ての復旧には至っていない」として引き続き救急・一般外来の受け入れを制限していると明らかにしましたが、同日、「『画像管理サーバー』の障害発生について」と題したリリースを改めて発表しランサムウェア攻撃を受けていることを明らかにしました。
リリースによると、2月27日深夜から攻撃を受け画像管理サーバーに格納されている診療記録のPDFファイルの一部が暗号化されているということです。暗号化されているファイルは30テラバイト以上にのぼるということです。画像管理サーバーからの情報漏洩に関する調査は完了していないとしつつ、現状ではランサムウェア集団のリークサイトにデータの掲載は行われていないようです。同病院は情報漏洩の可能性が否定できないことから個人情報保護委員会に報告を行ったとしています。
厚生労働省の初動対応チームとシステム業者の検証の結果、電子カルテや医事会計等は正常稼働しているとしつつ、現状、病院全体でインターネット接続を遮断しており、予約外来および入院患者への対応は紙のカルテを運用して行っているということです。また、攻撃者から具体的な身代金の請求は示されていないとのことです。今後、身代金が示された場合も交渉や支払いには応じないとしています。どのようなランサムウェアに攻撃されたのかについてはリリースでは明らかにしていません。
認証を必要とせずアクセス可能な設定があった
同病院の管理画像サーバーには、業者がサーバーを外部からインターネット経由で保守するために接続する回線があるということです。この接続は病院内に設置しているネットワーク機器を介して行われているようですが、この機器の設定に、外部から認証なく病院内のコンピューターに接続可能な設定があったことから侵入を許し、さらに画像管理サーバーにはウィルス対策ソフトが設定されていなかったため暗号化に至ったとしています。ネットワーク機器から認証を必要とせずにアクセス可能な状態にあったということですが、それが設定が行われていなかったという意味なのか、機器そのものに問題があったのかはリリースからは明らかではありません。
同病院は今回の事態を受けて、病院の情報システムのセキュリティ設定の体制の立て直し、外部接続機器の脆弱性の点検と設定の見直し、全システムを対象にウィルス対策ソフトの稼働状況の点検、病院職員に対するセキュリティ教育の実施に取り組んでいくとしています。
国分生協病院の病院システムがどのようなものか承知していませんが、病院ではX線やMRI、CTスキャン、超音波など様々な医療画像が取り扱われており、これら医療画像はPACS(医療用画像管理システム)で包括的に管理・運用しているのが一般的です。病院にはその他、電子カルテや会計システムなど複数のシステムが構築されています。今回、国分生協病院のケースでは病院内のネットワーク機器に外部から認証なく侵入できてしまう設定があり、さらに侵入された後のセキュリティ対策が十分に施されていなかったことから医療データの暗号化を許してしまったということです。
■出典
「画像管理サーバー」の障害発生について