-
ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
島津 忠承 日経クロステック/日経NETWORK
2022.06.13調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。
脆弱性を放置、認証情報の流出にも気づかず
調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。
調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。
さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。
根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。
パスワードは最短5桁、マルウエア対策ソフトも停止
脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/ -
UTMのアップデートしなかったのかよ
-
Windows Updateも無効にしてた模様
-
俺もよくスマホ観てるとVPNを更新して下さい。って出るから毎回OKタップしてるわ。
-
はんだってー
-
リスト公開じゃなく、連絡しよよ
-
>>6
販社は別なので、連絡先不明。
言わせんな恥ずかしい。 -
SSL-VPNの脆弱性か
-
5桁総当りで突破できるとかざるすぎ
-
> 8万7000台の装置の認証情報が流出したとフォーティネットが公表し
ここが一番悪いんだけどな -
ノートン入れてるけど、「VPNに入れ ○○〇〇円で入れますぜイッヒヒ」とか画面にでるけど
入った方がいいのん? -
passwordですら8桁
-
会社名を出せよ
-
銀行はいつまで暗証番号4桁を続けるの?
-
ああ、病院特有の、すべての責任を出入り業者に押し付ける流れか
これほんと気分悪いな -
>>16
機械の操作とか出入り業者に手取り足取り教えてもらえるのが当たり前の環境だからな。マニュアル読んで自分で調べるとか、セキュリティは自己責任とかの意識が育たんのだろ。 -
大手ベンダいるよね普通
-
病院ってIT部門あるの?
セキュリティとか無いようなもんだろ -
顧客が自分のところに入っているシステムとか設定を把握しているわけない
-
脆弱性なんて、パッチ当てないとやばいっすよって言い続けてもその費用出そうと一ミリも考えてないとこ多いからな
今まで何も起きてないから大丈夫でいくとこはやばい
-
システム運用者設置してなかったんじゃないの。作りっぱなし。
設置A社、復旧B社、アプリ保守C社以上3社だもん登場人物。 -
病院側が愚かでベンダーの提言を無視していたってことかね
-
あ~知ってる知ってるあれだろカーオーディオの
-
そもそも、高度な個人情報などがあってとても高いセキュリティ性を求められる病院内
のITサービスを、VPN上に構築したんだろう?
こういうサービスを行うネットワークは、普通はインターネットと物理的に分けるけ
どね
複数拠点間でつなぐ必要性があったとしても、VPNじゃなくて専用線を使うだろ? -
>>28
専用線だとコストが掛かるから、偉い人が嫌がったんじゃないかな -
>>32
病院の担当者がそこまで考えられると思えないので、システム担当のA社が悪いんだ
ろうな
事件が起きた後の調査や復旧を担当したB社も酷かったみたいだし、徳島県警も役に
立たなかったみたいだし、日本の情報セキュリティ技術って低すぎるのかもね -
>>1
バックアップ取ってればいいだけ -
ActiveDirectoryのロックアウト回数なんて
デフォで設定されてるのに、わざわざ外すってことは
病院側の移行やろ?さすがに自業自得 -
>>31
間違えた時ロックかかるのが不便みたいな理由なのかな
安全装置うるせーから解除してたら死亡事故発生しました的な -
>>31
現場猫しぐさだな -
なんだ きじゃくせいのスレか
-
こーゆうとこのシステム運用者なんてプリンタに紙が詰まった
とかの対応しか出来ないよ
俺のことだがなw -
半田そうめん
-
だからFAXでやれとあれほど
-
こんな感じのセキリュティ至る所にあるだろ
-
handaで5桁か
-
VPNの情報漏れがすべてだろ、それがなかったら何も起こってなかった
win updateだのパスワードだの関係ない、あとから列挙してるだけ
家の鍵をメーカーのポカで破られてから、「冷蔵庫になんで鍵かけてないの?」「自転車錠前3桁w」みたいな理屈 -
>>40
いや二重三重に安全管理しないと -
無茶苦茶やん。保守管理する人が居ないのか?
-
半田ごてで治らんか
-
田舎の病院にこんなに難しいことわかる奴いないわ
-
ずいぶんとまあ杜撰だな
-
LANケーブル引っこ抜いておけば安全。
-
日本人にITはまだ早い
せめて小学校から独立した科目で教えて、そいつらが経営者になったころでないと -
UTMが脆弱性wwwwww
-
サーバーのアップデート無効指示したのは、システム納入したソフト会社では?
問題起こらないようにってよくあるぞ滞りない運営>>糞アップデートでシステム停止
-
専用のセキュリティ担当置けないなら共用のセキュリティサービスで商売できそうかな?
-
ランサムはリテラシーで防げます
被害者面はやめましょう
道交法も守りましょう不正検査や産地偽装が当たり前の国じゃ無理かな
-
5桁のパスってなんだ
asdfgか? -
ところで単位は桁なん?
文字だろ
ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置 「Active Directory」のパスは5桁
コメント