本記事の概要
医療業界は電子カルテなどのIT化が進む一方で、「医療」という専門性の高い業種であることから、情報セキュリティへの関心が低いことが従来から問題視されていた。
そんな中、病院のシステムがランサムウェアに感染することにより、業務が大幅に制限されるという事例が発生し、非常に多くの世間からの注目を浴びた。
当該報告書は、非常に多くの人にとって読んだ時のメリットが大きい報告書だと感じた為、おおざっぱなまとめと個人的な考えを述べる。
本記事を読んだ方が少しでも興味を持って、報告書原本を一読する機会になれば幸いである。
報告書の構成
本報告書は以下の3部から構成されている。
読者に対するメリット
本調査報告書を読む人にとって、どのようなメリットがあるか、読者の役割に応じて示す。
組織の意思決定者
当該事案は、
・情報漏洩
・事業の停止または大幅な制限
が発生し、ほぼ考えうる最悪のケースと言っても過言ではない。
本報告書を概要だけでも一読することで、最悪の場合にどのような被害が発生するか、それが「対岸の火事」ではないことを理解することができる。
また、ガイドラインを参照することで、意思決定者として具体的にどのような行動が求められるかを知ることができる。
組織のIT担当者
上記を参考に、予算取りのために自組織の意思決定者を説得する材料とすることができる。また、意思決定者と同様にガイドラインを参照し、具体的な行動を起こす参考になる。
ベンダーの担当者
本報告書では、ベンダーの不手際に対する指摘が多くある。
個人的には後述する通り、ベンダー側の言い分もあるとは思うが、
- サポート契約等をしないことのデメリットの説明
- 複数ベンダーが関わる場合の責任範囲の明確化
- 事案発生後の対応
等、ベンダーとして意識すべき事項が非常に多い。
すべての情報セキュリティ人材
ありとあらゆる組織において、不祥事は隠したいものであり、このような報告書が一般に公開されることは(残念ながら)稀である。
(本事案は、様々な面で「典型的」な事象が多く、多くの情報セキュリティ人材にとっては、「言わんこっちゃない」となる可能性が高い。。。)
日本年金機構における不正アクセスによる情報流出事案においては、詳細な調査報告書が一般公開され、教育などにも多く使われたが、本報告書も同じような位置づけになることが予想される貴重な資料である。
情報セキュリティに関わる者なら、必ず一読してほしい。
(一般の読者向け)本事案の概要
令和3年10月31日の未明、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテや医療事務などのシステムが利用不能になり、令和4年1月4日に通常診療を再開した。
利用不能になった原因は、ランサムウェアと呼ばれる種類のマルウェアであった。
なお、当然のことながら、業務停止だけでなく、情報流出も起きている。
ランサムウェアと呼ばれる種類のマルウェア
情報セキュリティの世界では、「悪意のあるソフトウェア全般」を「マルウェア」と呼ぶ。これは、いわゆる「コンピュータウイルス」は特定の条件を満たした「マルウェア」を指す狭義が存在するためである。
なかでも、感染端末上のデータを窃取・暗号化し、データの非公開や復号を条件に金銭の支払いを求める機能を持つマルウェアのことを「ランサムウェア」と呼ぶ。
なお、本事案でも金銭の支払いを求められたが、「支払ったとしてもデータが100%復元できるとは限らない」「つるぎ町は犯人側への資金提供は自治体の姿勢として理解を得られないと判断」として、支払いを拒んだことでも注目された。
(情報セキュリティ人材向け)本事案の概要
本事案は様々な面で「典型的」な事象が多かったため、該当部分について示す。
-
本事案における想定される侵入経路
- VPNの脆弱性(CVE-2018-13379)をついた内部NWへの侵入
- 以下のいずれかを用いた内部NW上のPCへの侵入
- 認証情報の総当たり攻撃によるログイン
- 機知の脆弱性を用いた侵入
- Mimikatz を使用した共通アカウントの認証情報の窃取
- RDPやPsExecを使用した水平展開
-
本事案における問題点
- 病院側
- 事前の体制の不足
- 担当者の人数の不足
- 予算の不足
- 閉域網神話を信じることによる思考停止
- システムベンダー側
- 複数ベンダーが関わることによる、サポートや責任の空白範囲
- OSのアップデート・FWやマルウェア対策ソフト等の無効化を指示
- VPN機器の脆弱性の放置
- フォレンジック事業者側
- 基本的にツールを使用するのみであって、詳細な調査が行われていない
- システムの初期化やVPN機器のアップデートなど、調査を想定したIRが行われていない
- 病院側
本報告書を読んだ個人的な感想
文末になってしまったが、このような非常に貴重な資料を一般公開されたことについて、感謝を述べたい。こうした資料の公開は、当事者の誠実さを示し、業界の発展に大きく寄与すると思う。
さて、すでに述べた通り、本報告書は貴重な資料であることに変わりはないが、個人的には予算に関する調査検討が不十分に感じた。
当たり前だが、ベンダー側も商売でありコストが掛かる以上、サポートやフォレンジックの質は病院側の予算に大きく依存する。
「サポート契約を結ばない」「フルフォレンジックではなく、ファストフォレンジックを選択する」等は病院側の選択のはずであり、病院側の責任は大きい。
本報告書では、ベンダーや事業者に対する非常に強い指摘が行われているが、「病院側がベンダーや事業者に払った料金に見合ったサービスであったか」という点について明確ではないため、「ベンダー側にもそれなりの言い分があるのでは?」と思ってしまう。
とはいえ、そんなことは百も承知のはずである業界団体(Software ISAC)が本調査報告書を出していること、「十分な質が担保できない状態で請け負ってしまう事業者やベンダーもいかがなものか」ということから、ベンダー側への指摘もやはり的外れではないとも思える。
「業界団体が調査したからこそ厳しい目で見た」のか、「ベンダー側がそれほどひどかった」のかは不明だが、少なくとも「業界団体によるベンダー側への忖度」はないように見受けられるため、その点は非常に安心で素晴らしいと思う。
また、ガイドラインについては、自組織が対応すべきかどうか、各項目について組織の規模ごとにレベル分けが行われている。
「完璧なセキュリティ対策」は存在せず、優先度をつけながら対応する必要があることから、このようなレベル分けは読者にとって非常に参考になると思う。
反面、こうした整理の仕方は、「あなたの組織はここまでやらなくていい」という免罪符と捉えられかねず、作成者側からすると踏み込んだ姿勢で素晴らしいと感じた。
(もちろん、上記の免罪符のような解釈は間違いである)
ただし、当該ガイドラインでは、「情報漏洩による被害が少ないと考えられる組織(L1と定義される)」でも対応すべき項目が多くあり、レベル分けが3段階しかないことから、優先順位を一般化することの難しさがわかる。
本記事について
本記事の執筆者は執筆時点において、セキュリティエンジニアとして会社に属して働いている。
つまり、執筆者は本事案について公表されている情報以上は全く知らないものの、所属する会社がベンダー側である可能性や取引がある可能性、本調査報告書の作成に関わっている可能性などがある。
本記事については、執筆者の個人的な見解等を多く含み、会社とは関係がないこと。執筆者は本事案に全く関わりがなく、一セキュリティエンジニアとして書いていることを明示しておく。
つまり、本記事はポエムに過ぎない。