昨年10月末に起きた大阪市の大阪急性期・総合医療センターへのランサムウェア攻撃について同センター情報セキュリティインシデント調査委員会(猪俣敦夫委員長)が調査報告書をまとめ発表しました。報告書は、センターやサプライチェーンのセキュリティに対する認識不足にとどまらず、システムを提供していた事業者側の問題点を指摘しています。
サプライチェーン事業者とRDP通信で常時結ばれていた
調査報告書によると、大阪急性期・総合医療センターが電子カルテの障害発生を認知したのは2022年10月31日午前7時45分だということです。同8時30分ころにはセンターが運用する診療系システムの基幹システムの構築と保守を統括している事業者によってランサムウェア攻撃であることが確認されました。そのため電子カルテに関連するすべてのネットワークを遮断して利用を停止し、紙ベースでのカルテ運用に切り替えたということです。電子カルテを含む基幹システムの再開は障害発生後43日目の2022年12月12日となり、障害発生後73日目の今年1月11日にようやく診療システム全体の復旧に至ったということです。
システム再開を受けてセンターでは、大阪大学サイバーメディアセンター情報セキュリティ本部教授の猪俣敦夫氏を委員長、京都大学医学研究科医療情報学教授の黒田知宏氏を副委員長、大阪府医師会副会長などを委員とする調査委員会を立ち上げ、原因究明と再発防止策の観点から関係者にヒアリング調査を実施し、報告書を3月28日に発表しました。
このランサムウェア攻撃は、社会医療法人生長会が運営するベルキッチンのシステムを介して攻撃が行われたことがすでにメディアによって報じられています。ベルキッチンは同センターをはじめ大阪市内の病院や福祉施設などに給食を調理・配送している事業者で、この報告書では他の事業者と同様に名前を伏せて患者給食業務受託事業者E社として記載されています。報告書によると同センターへのサイバー攻撃は、E社の給食センターのシステム構築事業者が設置したファイアウォールの情報基盤の脆弱性、もしくは漏えいして公開されていたID・パスワードが悪用されて侵入されたことが発端だということです。
さらにE社の給食センターシステムのサーバーのID、パスワードが脆弱だったことから容易に給食センターのシステムへの侵入を許し、システム情報を窃取されて侵害が拡大したということです。そのうえE社と大阪急性期・総合医療センターが常時RDP(リモートデスクトッププロトコル)通信で結ばれていたことから、攻撃者はE社の給食センターのシステムから窃取した認証情報を悪用してセンター側の栄養給食管理システムに侵入、その際、ウィルス対策ソフトをアンインストールしたということです。
ベンダーの知識や意識、準備不足も‥…
そして栄養給食管理システムのサーバーを踏み台にして他サーバーの認証情報を窃取し、それら認証情報により電子カルテシステムなどのサーバーに侵入、電子カルテなどのサーバーをランサムウェアPhobosの亜種であるElbie(エルビー)により暗号化したということです。調査報告書によると、侵入は攻撃者が手動で行い、センターのシステムからE社給食センターへのデータの転送は観測されず、外部への情報漏えいも確認されていないということです。リークサイトを持たず二重脅迫を行わないのはPhobosランサムウェアの特徴です。
調査報告書は、システムを担っているそれぞれの事業者、そして医療機関であるセンターとの責任分担が不明確であった点を指摘していますが、この指摘は2021年10月に徳島県つるぎ町の町立半田病院で起きたランサムウェア攻撃においても指摘されたことでした。また、調査報告書は「ベンダーの知識や意識、準備不足も重なっていた。結果として、既定値のままのポートでRDP常時接続が許可され、ユーザーにシステムの管理者権限が付与され、サーバーの管理者IDとパスワードがほぼ同一であった。このように、一般的な対策が施されていなかったことによってインシデントが拡大した」と指摘、「ベンダーはシステムや機器を提供する専門家として、サイバーセキュリティの知識と経験向上に努めるべきであった」と記しています。
昨今のサイバー攻撃はセキュリティを回避するために、セキュリティ製品やネットワークマネージメント製品が狙われる傾向がありますが、大阪急性期・総合医療センターへの攻撃においてもまさにファイアウォールが侵害されてシステムへの侵入を許したということですから、報告書はサイバー攻撃の現状とその現実に対処し切れていない国内医療機関やシステム構築等事業者の実態を浮き彫りにした印象です。
■出典