7月にシンガポール(SingHealth)の患者情報150万件が大規模漏洩した事件がありましたが、この続報がZDNetに載っていました。
www.zdnet.com
The initial response to the security breach was "piecemeal" and "inadequate", said Solicitor-General Kwek Mean Luck, during his opening statement Friday to kickstart the six-day public hearing.
Pointing to findings from the investigation, which was carried out by Cybersecurity Agency of Singapore (CSA), Kwek said the attackers used a publicly available hacking tool to breach an end-user workstation. They were able to do so because the workstation was running a version of Microsoft Outlook that was not updated with a patch to address the use of the hacking tool.
This provided the hackers access into SingHealth's network as early as August 2017, distributing malware and infecting other workstations after the initial breach, he said.
In addition, one local administrator accounts had used "P@ssw0rd" as a password, which could have been easily deciphered, the COI said. The attackers were found to have used some administrator accounts to remotely log into Citrix servers hosted at Singapore General Hospital, reported local broadcaster Channel NewsAsia.
(ZDNet記事より引用)
◆キタきつねの所感
自分の記事を改めてみてみると、シンガポールでのサイバー攻撃が報じられたのは、米国のトランプ大統領と北朝鮮の金書記長がシンガポールで会談した6月から1ヶ月も経ってない7月でした。
foxsecurity.hatenablog.com
最初はAPT(高度な標的型)攻撃であると報じられていましたが、今回の続報を見ると必ずしもそれだけではない部分が詳細調査によって浮き上がってきました。ZDNet記事では、シンガポール側のセキュリティ対策について、『 piecemeal and inadequate』(部分的で不適切)である調査委員会の聴聞会ではまとめられています。
攻撃手法としては、公開されているハッキングツールを用いての攻撃が内部のネットワークに入られてしまった直接の原因のようです。ではどういった脆弱性を突かれたのか、という部分については、マイクロソフト・アウトルックのパッチ当てが不十分であったからと書かれています。
1台のワークステーションに侵入された後は、他のワークステーションにマルウェアを配布して感染を広げたのと、感染がさらに広がった理由の1つとして、『ローカル管理者アカウントの1人が「P @ ssw0rd」をパスワードとして使用していた』事も挙げられています。
侵入したハッカーは、攻撃を受けたシンガポール総合病院が使っていたCitrixサーバにリモートログインする管理者アカウントを乗っ取り、接続が可能であったHealthcare-Cloud上のデータベース(SCM)の脆弱性を悪用し、一括クエリ実行。大まかに言えばこんな経路での情報漏えいだったようです。
Kwek also noted that IHIS staff became aware of the unauthorised attempts to access the database on June 11. While they tried to address this by changing passwords and shutting down a server, he said these efforts were piecemeal and inadequate.
また、侵入自体は2018年7月より前の6月11日には、スタッフがデータベースへの不正アクセスを気づいていますが、パスワード変更とサーバ再起動だけで対処したようです。この時にインシデントにしなかった事が被害を大きくしたといえるかも知れません。
この事件、当初報道通り、国会規模のハッカーによるAPT攻撃(洗練された標的型攻撃)という部分もあるのかも知れませんが、それ以上に防衛側のセキュリティに対する過信が穴になったと言えるのではないでしょうか。更に言えば、設定がされている『はず』という、規定・ルール上の机上の空論的な体制を敷いていただけであって、それが正しく運用されているか、運用が間違ってないか、そうした検査(侵入検査や脆弱スキャン)を行ってなかった、そんな基本的な部分に大きな侵入要因があったと考えることもできそうです。
コンサルタントという立場上、日本の様々な会社のセキュリティ担当者の方と意見を交換する(場合によっては監査を含む)事がありますが、このシンガポールでの事件を笑えない内部状況である企業担当の方は少なからずいるという実感です。(『やっているはず・・・』『他部署の管轄なので分からない・・・』こんなニュアンスの事を仰る方は要注意です)
他国・他社での事件をもって自社のセキュリティ体制を改めて考える、単純な事ですが、こうした事に真剣に取り組むことが実は対応コストが安くなる事にそろそろ日本企業も気づかなければいけないのではないでしょうか?
更新履歴
