【要点抽出】徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書

ニキヌス

半田病院の報告書をしっかり読んでいなかったのですが、今更ながら。
既に報告書の発表から時間が経ち世の中に記事や要約があふれていますので、特に本noteに新規性はありません。完全に自分の頭の整理用です。

https://www.handa-hospital.jp/topics/2022/0616/index.html

何の本?

2021年10月31日に徳島の半田病院で発生したランサム感染事案についての報告書です。

構成は?

調査報告書本紙(41ページ)、報告書技術編(103ページ)、情報システムにおけるセキュリティコントロールガイドライン(33ページ)という3部作です。
ただ、3つ目のガイドラインは半田病院の件を掘り下げたものではなく、一般社団法人ソフトウェア協会 Software ISACが作ったものをあわせて掲載しているようなので今回は割愛し、残りの2つから要点抽出します。

何が起こったのか?

前提環境
半田病院をGooglemapで見ると「町医者以上、市立病院未満」といった感じの小規模の病院に見えます。
本書でも「病床数は200床未満」「救急救命センターのような高度な医療行為を担っていない」とあります。
ITの環境としては端末は200台、サーバは数十台規模らしく、情シス担当が1名いたようです(この規模の病院ではいるだけマシ)。

図 1 電子カルテシステム概要図

発生事象
複数のサーバや端末のデータがランサムウェアLockbit2.0により暗号化されました。
本書に「本サイバー攻撃の相関図」がありますが(多分敢えて)ボケボケなので、その後の説明から読み取れる内容を補記しました。

図 2 本サイバー攻撃の相関図 に加筆

発見経緯
21年10月31日に病院内の複数のプリンタが、一斉に犯行声明を印刷しはじめたことで気づきました。

影響
救急や新規患者の受け入れ中止、手術の延期など、病院の機能停止。
情報漏洩の有無は調査不足のために不明です。

原因
FortinetのVPN装置の脆弱性(CVE-2018-1337)をついて初期侵入された可能性が高いとされています。(他のNW環境の防御状況から消去法的に推測)
その他にも後述「何がダメだったのか?」に記載の設定不備があったため、攻撃者にとっては横展開や特権昇格が非常に簡単だったと思われます。

インシデント対応の流れ

登場人物として、半田病院の他に3社のベンダが登場します。
(社名はこちらの記事より)

  • A社:電子カルテシステムのインフラ部分を請け負うベンダ。スタンシステムという地元のSIer

  • B社:フォレンジックやデータ復元を請け負ったベンダ

  • C社:電子カルテシステムの開発・提供ベンダ。JBCCホールディングス

対応の流れは本書に96行の表がありますが、分類しつつ主要なところを抜き出しました。

特徴としては、大阪急性期・総合医療センターの件と同様に、災害対策のためのBCPが働いたことで早期に対応体制を立ち上げられたり、他の病院と連携できたこと。
そして、本件でもベンダ各社の動きがイマイチだったことが分かります。
A社はVPN機器のログを保全せずにアップデートを実施。
C社は対応が遅いと途中で病院からクレームを申し入れられています。
事故の調査や復元を請負ったB社は、最もセキュリティの知識がありそうですが

  • フォレンジックのレポートが雑すぎ

  • エンジニア派遣要請に応えない

  • VPNが侵害経路と想定しながら保全の指示をしない

  • 環境の異なる外部にサーバを持ち出して調査する

  • ネットワークに端末を再接続させてウイルススキャンさせる

  • 情報漏洩観点の調査はしない

という感じです。
特に端末をネットワークに再接続させるあたり、インシデント対応が分かっている企業とは思えません。

復旧
22年1月4日に復旧、通常診療を再開しています。
今回、オフラインバックアップは攻撃の影響を受けなかったそうですが、2018年以降のデータは物理的に無かったそうです。
かわりに復旧の決め手となったのは「暗号データの復号化」であり、病院として「身代金は払わない」判断をした中でどう復号化したのか?がグレーなままでした。本書でも以下のような玉虫色な表現に留まっています。

最終的な復旧方法はB社独自の調査のため詳細は把握できなかったが、半田病院側との会議の中で「適合が困難で復旧に時間がかかっている」「修復プログラムを組んでいる」といったようなやり取りがあったこと、さらには、データを復元できていることから、何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある。

そして本件はその後、結局、裏で払っていたのだろうという別の記事が出ていますね。
https://www.at-s.com/news/article/national/1167487.html

何がダメだったのか?

組織的な課題

自治体病院の予算策定は町議会からの割り当て制らしく、半田病院のような規模の小さなところには大した予算が与えられないためにセキュリティ対策のためのリソースの確保がほぼ不可能とのことでした。
本書ではこの後、サイバー等の新たな事業リスクに関するマネジメントシステムの欠如とか、厚労省のガイドラインの推奨事項ができていないとか、サイバーを前提としたBCP策定ができていないとか色々書いてありますが、これが全てのように思います。金がないと何もできません。

こうした状況からITやセキュリティ部分はベンダに依存せざるを得ないわけですが、システムを任されているA社とC社の間で責任分解の整理ができていなかったようです。
結果的に、電子カルテシステムのインフラ部分やアンチウイルスソフト、VPN装置に関するサポート体制がない(意図的なポテンヒットの放置)
また、セキュリティを意識した設計や設定の意識もなく、進言もない
といった状況で、本書では「納入システムが閉域網であることを理由に、極めて初歩的なセキュリティ対策を継続的に怠ったため、最悪の事態に至らしめた責任は重い」と書かれています。
(ここはネット上で賛否の声があるようです。ベンダ目線に立てば、保守契約ないし予算もないのにそこまでやれるわけが無いだろ!という声も)

技術的な課題

大阪急性期・総合医療センターの件と同様に(本件の方が先に起きた事案ですが)、閉域網神話による対策の不備が触れられています。

  • 端末のパスワードが最小桁数5桁

  • パスワードのロックアウト設定無し

  • AdministratorのIDをそのまま利用

  • 端末間でパスワードの使いまわし、あるいは類似

  • ドメインユーザが Built-in\Administrators に所属

  • UACは無効

  • USBメモリの利用許可

  • VPN装置の脆弱性管理の不備

  • VPN装置への接続元IPアドレス制限を未実施

  • サーバのパーソナルFirewall無効化

  • 病院内のすべてのサーバを「信頼済サイトゾーン」に設定

  • 自己署名証明書で署名されたActiveXコントロールのサイレントインストール許可

  • 電子カルテシステム(IE7やActiveX前提)の安定稼働を優先して、以下の対策を実施しない

    • ウイルス対策ソフトを導入するも停止させる

    • Windows Endpoint Protectionを無効化

    • Windows、Silverlight(サポート切れ状態)、Acrobat DCのアップデートの未実施

社会的な課題

半田病院が地方の小規模な公立病院である特性を踏まえて、それをとりまく周辺環境面の課題に触れています。

  • ステークホルダが多すぎ

  • 行政や法令の仕組み的に、半田病院レベルの病院がITやセキュリティをちゃんとできるわけがない

  • A社の知識がなさすぎ

  • C社のセキュリティへのやる気がなさすぎ

  • 病院行政やガイドラインが複雑すぎ

  • 省庁からのガイドラインが概念的すぎ

感想

本書では5章「再発防止策の実施と検討状況について」、6章「まとめ」にキレイな言葉で改善提言が書かれていますが、個人的には「こんなの改善無理じゃない?」と思いました。
どう考えても、このレベルの組織に個々でのセキュリティを求めるのは無茶であり、大企業がホールディングスレベルで共通的な施策やセキュリティ基盤や体制を整えてグループ会社を統制しているように、業種レベルでの共通化をしない限りは何ともならないだろうと思いました。
本件の後に大阪急性期・総合医療センターの件があったように、今後もまだまだ同じような悲しい事案は増えるだろうと思います。

一方、本件はその後、情報セキュリティ事故対応アワード 特別賞を受賞しています。対策レベルは十分でなくとも、起こった後の対応や情報開示の姿勢も重要ということですね。サイバー攻撃被害に係る情報の共有・公表ガイダンスが役立ちそうです。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?