ランサムウェア　病院でのセキュリティ対策の重要性（vol.3）

2022年08月31日（水）

AppGuard

徳島県の町立半田病院は2021年10月、サイバー攻撃の被害を受けました。電子カルテシステム上での患者情報の閲覧が不能となり、請求業務も停止、復旧には実に2か月以上を要しました。この未曽有のランサムウェアの脅威から私たちが学ぶことは何か、考えてみたいと思います。病院へのランサムウェアの脅威を感じ、セキュリティ対策を検討している方は必見の記事です。

半田病院のランサムウェア感染事例
病院がランサムウェアの被害を受けてしまう原因
ランサムウェアに感染させない対策
まとめ

半田病院のランサムウェア感染事例

事案概要

令和3年10月31日未明、病院内に設置されていた複数台のプリンタが、一斉に犯行声明を印字し始めたことでインシデントが発覚しました。Lockbit2.0によるランサムウェア（身代金要求型ウイルス）に感染し、患者の診察記録を預かる電子カルテなどの端末や関連するサーバのデータが暗号化され、データが使用できない甚大な被害が生じました。

侵入経路は導入しているVPN装置で、その脆弱性を悪用して侵入したものと思われます。

ランサムウェア感染の確認後は、ネットワークの遮断や端末の停止などを行い、一時、救急や新規患者の受入れを中止し、手術も可能な限り延期にしました。病院としての機能は事実上、停止する状態に陥りました。

侵入経路および被害内容

内部侵入後、インシデント発覚時刻である2021年10月31日0時頃を起点として、前後1時間以内に業務用端末の1台の端末（3階端末）から業務用の7台の端末（3階・4階端末）へログオンされていたことが確認されています。

その内6台の端末で不審なファイルやマルウェアの痕跡が確認され、Windowsのリモート操作ツールである「PSEXESVC.exe」の実行の痕跡が確認されています。

最初の7台のログオン元となった端末（3階端末）と7台の端末のうち、3台の端末でADサーバへの接続が確認され、うち1台はもう1台のADサーバへのログオンが確認されています。またログオンが行われていた7台の端末から印刷サーバへのログオンを確認しており、大量の印刷へつながったものと思われます。

さらに、インシデント発生時刻の24時間以内に時間を広げて調査をしたところ、初期のログオンと思われる7台のうちの1台の端末から、ADサーバ、印刷サーバ等を含む18台の端末に対してログオンされていたことも確認されています。

調査の結果、ログオンに成功している端末9台、データの暗号化が確認されている端末15台、両方確認されている端末16台、合計40台の端末が、今回の攻撃による被害や影響を受けていたのです。

正確な漏洩情報は把握されていませんが漏洩の可能性があるのは、ログオンが確認されているPCやサーバに保管されていた情報で、主なものは以下になります。

【ランサムウェアに感染したPCやサーバに保管されていた情報】

・診察中に取った写真

・患者の個人情報

・健診に係る患者情報

・麻酔や分娩を行っている患者情報

・透析管理を行っている健診に係る患者情報

・患者の会計情報

・医師や関係者の接続・保存情報

・調達・使用している物品情報

・各種医療情報

このような病院の大事な情報や患者様の重要な個人情報が漏洩するのは、とても危険でリスクのある問題だと言えます。ではなぜ病院がランサムウェアの被害を受けてしまうのでしょうか？

病院がランサムウェアの被害を受けてしまう原因

一般的な感染原因

まずは医療機関におけるセキュリティ対策の遅れや意識の欠如があります。次に患者データの高額取引も要因となっています。また、これは企業にも当てはまりますが、テロの予行演習に使われることも大きな理由の一つであると考えられています。

被害が発生している企業や組織に共通する点としては、サイバー攻撃によって、『どのような被害が発生し得るかを十分検討しなかった』　『既知の脆弱性への適切な対策を怠っている』　『予算がないことを言い訳にしている』、などが挙げられます。

半田病院で浮き彫りになった原因要素

（1）セキュリティ対策について十分な検討がなされていない

（2）マネジメント体制や技術動向に関して準備態勢が整っていない

（3）課題の克服に対して対処がなされていない

脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバやパソコンについても危険なセキュリティ設定で運用していました。例えば認証用パスワードは最も短いケースでわずか5桁だったという事実もあります。一定の試行回数でロックアウトする設定も施しておらず、攻撃者が容易に認証を突破し端末を乗っ取れる状態にありました。

危険なセキュリティ設定はまだまだあります。

【半田病院の危険なセキュリティ設定】

・電子カルテシステムと相性が悪かったとしてマルウェア対策ソフトを稼働させていなかった

・Windowsアップデートの自動更新を無効にしていた

・Windowsのパーソナルファイアウオール機能の稼働を止めていた

・サポートが終了したWindows 7搭載端末が使われていた

・同じくサポートが終了した『ActiveX』や『Silverlight』に関する設定も有効なままになっていた

などのセキュリティ設定が組織で放置されていたのです。

他の病院でも同じような事象は多々放置されている可能性がありますので、一度確認をしてみましょう。

ランサムウェアに感染させない対策

ランサムウェアの感染経路

ランサムウェアの多くはWebサイトの閲覧やメールに添付しているファイルやリンクから感染します。その他にも、USBメモリなど記憶媒体に仕込まれたランサムウェアが企業内に持ち込まれて、被害が拡大するというケースもあります。最近では、「ゼロデイ攻撃」とも言われるような「OSやソフトウェアの脆弱性に対する修正プログラムが提供される前に、その脆弱性を利用して行われる攻撃」なども増えています。このように、感染経路は多様化しており、OSの脆弱性をつく攻撃は今後も絶対になくなることはありません。

企業がとるべきランサムウェア対策

企業がとるべき予防策として考えられるのは「悪意のあるメールを開かないように訓練を行うこと」「検知率の高いセキュリティ製品を導入すること」「ゼロデイ攻撃をふせぐために定期的にOSやアプリケーションのアップデートを行い、常に最新の状態を保つこと」「データ復旧ができるように重要なデータのバックアップをとっておくこと」など、さまざまな対策があります。

しかしながら、それらの対策を講じたとしても未だに悪意のあるメールは侵入し、ランサムウェアの被害は拡大している傾向にあります。更にランサムウェアに感染すると、画面がロックされデータ復旧と引き換えに身代金を要求してきます。

よって対策としては「感染した端末からLANケーブルは取り外したり」「Wi-Fiをオフなどしてネットワークから切り離したり」　「高度なセキュリティ人材に解決策を提示してもらったり」など、対処法は様々です。しかしこれらの対策は侵入・感染後の対策であり、根本解決にはなりません。

つまり、企業がとるべきランサムウェア対策は、エンドポイントでの対策は多層化しつつも、侵入・感染されることは今後もなくならないことを前提に、発症させないセキュリティ製品を導入することが最も効果的なのです。

まとめ

今回の半田病院の被害事例を通し、多くの病院でのセキュリティ対策が十分ではない可能性が浮き彫りになりました。現場にいる当事者たちが『何を守るべきか』『そのために何が必要か』の検討・準備を我が身の重要課題として認識しておらず、個々の持ち場の専門ベンダーにパッチワークのように担当をお願いしていた事実も大きな要因と言えます。

半田病院のケースでは、VPN装置やサーバ設置はA社に依頼、被害後のフォレンジック調査や暗号化データの復旧作業はB社に依頼、電子カルテシステムなどアプリケーションの統括はC社に依頼、と付け焼刃的な対応も明らかになりました。

『閉域網だから安全という神話を信じ、セキュリティ対策について思考停止の状態』、これが医療業界での長年の認識であったとも言えるのではないでしょうか？

これはもはや医療業界だけの対岸の火事ではなく、多くの企業や事業団体にも共通する大きな課題だと警告を鳴らす、多くを学ぶべき重要な事例だと考えます。

弊社ではランサムウェア対策やEmotet（エモテット）対策を学びたい方に参考になる資料「【病院】特定医療法人佐藤会弓削病院様AppGuard事例」もご用意しています。本資料は病院のセキュリティ強化に向けて必見の資料です。ぜひダウンロードいただき、ご覧ください。