Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

医療機関はランサムの標的になってきている

米国の血液検査ラボ「LabCorp」がランサムウェア(SamSam)攻撃を受けて大きな被害を受けている件がFobesに出ていました。

forbesjapan.com

■公式発表

 LabCorp IT Security Information

   SECの発表

現状で分かっているのは同社が受けた攻撃が、これまで発生したハッキング攻撃と同様な手法のものだったことだ。FBIの広報担当は7月17日、LabCorpのネットワークがランサムウェアの攻撃を受けた可能性があると述べた。

サイバー犯罪者たちはここ数年、LabCorpのような企業に対しスピアフィッシング(標的型のフィッシング)攻撃をしかけ、身代金ウィルスを送り込もうとしてきた。ターゲットとなる企業は、重要な個人データを大量に保有する企業で、数十億ドルの売上を誇るLabCorpはその典型例といえる。

同社は患者たちの膨大な個人データを貯蔵しており、身代金ウィルスに感染すればそれらのデータがアクセス不可能になっていたかもしれない。また、LabCorpの業績が好調であることから、ハッカーたちは数十万ドル程度の身代金であれば、同社が支払いに応じると考えた可能性もある。

(Fobes記事より引用)

 

◆キタきつねの所感

Forbesに記事が出た事からそうではないかと思いましたが、米国ではかなり多くのマスコミがこの事件を取り上げています。LabCorpの公式発表にはランサム被害としか書いてないのですが、サイバー攻撃がSEC(アメリカ証券取引委員会)にて7/16に発表された事から事件が大きく報道された感があります。

時系列としては、CSOオンラインの 記事に詳しく出ていたので引用すると、

According to sources familiar with the investigation, the Samsam attack at LabCorp started at midnight on July 13.

This is when the Samsam group used brute force against RDP and deployed ransomware by the same name to the LabCorp network. At 6:00 p.m. on Saturday, July 14, the first computer was encrypted.

The LabCorp SOC (Security Operation Center) immediately took action after that first system was encrypted, alerting IR teams and severing various links and connections.

These quick actions ultimately helped the company contain the spread of the infection and neutralize the attack within 50 minutes. However, before the attack was fully contained, 7,000 systems and 1,900 servers were impacted. Of those 1,900 servers, 350 were production servers.

CSOオンライン記事より引用)

 

7/13の深夜にSamSamによる攻撃が発生し、7/14の午後6時には最初のPCが暗号化(ランサム被害)を受けてますが、すぐに(外部の)SOCが検知していています。LabCorpの初動対応としてはかなり早く、警告を受けて50分以内に対応が始まっているのですが、ここがランサムの怖いところ7000台の端末と1900台のサーバ(内350台はビジネスで運用しているサーバ)に影響が出たとあります。

データ漏えいは確認されてないようなのが救いですが、総当たり攻撃(ブルートフォース)でRDP(リモート デスクトップ プロトコル)が狙われた事が、最初の脆弱点となり、ランサムウェアを仕掛けられたようです。つまり、IDとパスワードだけでリモート接続がされていたという事なのでしょう。CSOオンラインの記事も、それを伺いしれる文が書いてありました。

 

One of the key recommendations from security experts dealing with Samsam (including us here at Salted Hash) is to implement two-factor authentication, and limit (or seriously control) access to RDP.

CSOオンライン記事より引用)

 

セキュリティ専門家は、2要素認証の実装を推奨しています。そう考えると、RDPを狙われてランサム(SamSam)という部分では、Hancok病院と同じ攻撃パターンと言えます。

foxsecurity.hatenablog.com

現在はシステムは正常に戻っているようですが、7/20の時点ではまだ完全にシステム復帰ができてなかった様で、別な記事には、大体90%復帰とありましたので、ランサム(バックアップ)からの復帰には相当の労力がいる事をうかがわせます。

LabCorp Still Recovering From Ransomware Attack

 

日本の医療機関ではまだ直接的な攻撃を受けてのランサム被害はあまり無かったかと思いますが、(WannaCryで日立の病院が何か間接的な被害を受けていた気がしますが)、米国での成功事例から考えると日本を含む全世界で攻撃は活発になる気がします。

日本の医療機関で同様な被害をまだ聞きませんから、日本と米国で病院システムの構築の考え方が違うのかも知れません。とは言え閉域網を構築していたとしても、昨今のIT進化により、ネットワークは複雑化しており、外部に意図しない攻撃口(RDP以外でも)がある可能性は否定できないところが多いのではないでしょうか。

 

もしランサムで被害を受けた場合について、Forbes記事にはこう(米国の状況を)書いてました。

 

ランサムウェア攻撃でデータがアクセス不能になった場合、小規模なものでも復旧コストは数百万ドルに及ぶIBMは2017年に、企業がデータ復旧に必要とするコストが平均386万ドルであると試算したが、その金額は今後さらに上昇する見込みだ。

(Fobes記事より引用)

 

想定被害を考えると、日本の医療機関も、ボーダレス化しているハッカーの攻撃を警戒すべき時期に来ていると思います。

 

 

血液パック・輸血パックのイラスト

 

更新履歴

  • 2018年7月28日PM(予約投稿)