徳島県つるぎ町立半田病院が、コンピュータウイルスに感染させてデータを暗号化し、復号に金銭を要求するタチの悪いランサムウェア攻撃を受け、電子カルテが使えない状況になってしまったのは10月下旬。復旧するどころか、一ヵ月以上経った今でも混乱している状況で、病院のホームページには電子カルテシステムの障害というお知らせが掲載されている状況です。
今回アタックを受けた直接的原因は、病院システムにアクセスするためのIDとパスワードがネット上に漏れていたことです。この種の漏洩原因で一番多いのは内部犯行ですが、システム関係者が確信犯だった場合には、幾重にも亘ってガードをしても無力です。アクセス権のある者が逮捕されることを承知でやるのだから打つ手はありません。今回の場合、病院職員にはシステムの専従者はおらず外部委託なので、システム監視をしている委託先の誰かがシステムにアクセス可能な情報(ID、パスワード)を漏洩したか、意図せず漏洩してしまった可能性があります。
しかし、今回最も疑わしいのは、VPN回線の制御に使っている米国製機器からの情報漏れです。使っていたのは、米フォーティネット社製のVPN機器です。同社では以下のアナウンスをしていました。
Malicious Actor Disclosesとは、アクセスに必要な情報を盗んだ者のことですが、このMalicious Actor Disclosesは、米フォーティネット社製のVPN機器を使っている多くのユーザの中から、同社が配布するパッチ(修正プログラム)を当てていないズサンなものを見つけて侵入。そこから同社製のVPN機器にアクセスするために必要な情報を入手し、これを公開してしまったようです。公開されてしまったVPN機器の数は世界で87000台!そのうちの一つが日本の徳島県つるぎ町にある町立半田病院でも使っている機器だったというわけです。
ランサムウェアに感染させて身代金を要求する事件は米国のパイプライン管理会社でも起きましたが、フォーティネット社に限らず通信機器を扱う会社は最新の注意を払って設計製造するものの、出荷後に脆弱な部分が見つかる場合があります。この場合、機器を導入したユーザにパッチ(修正プログラム)を配布して、侵入されそうな穴をふさぐよう促します。しかし、中にはその重要性を理解せず、放置しているユーザもいるのは確かです。汎用機全盛時代には、汎用機メーカがユーザを担当するSEに指示して確実にパッチを当てていましたが、今はその辺りのフォローの確実性がないのが現状です。今回の町立半田病院の場合、病院側にはシステム要員がいないので、業務委託先の業者がそれを代行しなければなりませんでしたが、ハッキングされてしまったところを見るとパッチを当てていなかったと思われます。パッチを当てていたら、不正アクセスを防げた可能性があります。もちろん、パッチを当てたあと、user password (ID、パッスワード)をリセットし、設定しなおさなければならないと書かれていますが、その両方をしなければならなかったわけです。
この種の通信環境を導入したら、不正アクセスを防ぎ、被害を被らないためにこの様な作業が必要になるということです。病院側にこの方面の専門家を雇うつもりがなかったり、その気はあっても予算がなかったり、適当な人材がいない地方にある場合には、外部に委託することになります。その業者がこの様なことに気を付ける必要があるという意識を持っていなかったり、作業を行う能力がなかったりするとアウトです。今回は徳島の郡部にある小さな町の公立病院ですが、まさかこんなところにアタックをかけて来るとは思わず、油断していたのではないかと想像します。ネットワークの世界は都会とか田舎とかアメリカとか日本などという境界はなく、ボーダレスであることに気を使わないとこういうことになるという事件でした。
なお、この病院を管轄するつるぎ町の町長は、データ復旧のための身代金は支払うことを拒否し、当面紙カルテで運用し、新たに電子カルテシステムを導入する決定をしたそうですが、身代金を払っても全面的に復旧する確証はないし、更なる悪さをされる危険があることから、英断!大正解だと思います。
VPNではなく専用線を引くことが物理的で根本的な解決策ですが、下表に示すように予算も人の確保に限界がある自治体、企業が手軽にフレキシブルな通信環境を整えるにはVPNになってしまうのが現状です。
VPNしたのは種々の制約下でやむを得ないとしても、フォーティネット社の指示に従ってタイムリにパッチを当て、適宜アクセス情報(ID、パスワード)を変更するなどのきめ細かな対策をしていれば防げたかも知れないのが今回の事件でした。
私の関連ブログ⇒厚労省が病院のランサムウェア対策方針だす
※質問はosugisama@gmail.comにどうぞ!
※リブログを除き、本ブログの無断転載、流用を禁じます。