Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

医療機関でのランサム被害は今後増えていく可能性が高い

国内医療機関でもランサム被害が出てきたようです。

www.security-next.com

■公式発表

 電子カルテシステムの障害発生について

 

宇陀市立病院の電子カルテシステムがランサムウェアへ感染し、一部データが暗号化され、参照できなくなっている問題で、同院では10月25日に公開された復号ツールの活用も視野に解析作業を進めている。

同院では、10月16日5時半過ぎに不具合が発生。10月1日より導入した電子カルテシステムが利用できない状態となった。感染したランサムウェアは「GandCrab」で、同院では感染経路など含め、外部事業者の協力のもと詳しい原因を調べている。

(Security Next記事より引用)

 

◆キタきつねの所感

病院のランサム攻撃が成功したのは、海外ではよく出てきますが、日本では初めてらしいですね。(piyokango氏の日経XTECH等へのコメントによると)

 

少し掠っていたかも知れないのが、日立の病院の受発注システムの一部がWannaCryの被害を受けたと報じられている件ですが、基幹システムという訳ではないので、おそらくそうなのでしょう。

foxsecurity.hatenablog.com

 

公式発表を元に時系列にまとめてみますと、

日時 出来事 備考
2018/10/1~ 医療情報新システム(電子カルテ)本稼動における動作確認期間中  
2018/10/16 AM5 職員が電子カルテシステムが使用できない事を気づき、システム会社に連絡  
2018/10/16 AM8 システム会社担当が、サーバ画面上にランサムメッセージを確認し、システム全面停止、ネットワーク遮断  
2018/10/16 PM5 復旧見込み2日であるが、復旧に必要なバックアップデータが存在しない事が判明 システム会社の不備によりバックアップテープが装填されてなかった
2018/10/17 紙カルテによる診療で対応  
2018/10/18 AM7 ウィルスを除去し、再セットアップを完了、アンチウィルスソフトをインストール、データバックアップ機能強化により安全運用が可能と判断し、電子カルテシステムの運用を再開 システム会社の不備により、ウィルスソフトがインストールされてなかった

 

新システム(電子カルテ)の本番施行テスト中に発生したランサム被害だったようです。システム会社の対応自体は早い方だった様に見えますが、本番施行テスト中だったからか、システム会社はかなり大きなミスを2つしていました。ひとつが「バックアップ磁気テープ」を入れてなかった事により、本来なら復帰できたはずのバックアップデータが復帰できなかった点。1100人規模の診察データがランサムにより暗号化された(復旧できない)状態のようです。

2つ目が、アンチウィルスソフト未導入です。元々入れる事を約束していた本番システムだと思うので、ほぼシステム会社の責任であるのは間違いありませんが、システムを利用する側の病院側も、普通にアンチウィルスソフトが入っているかどうか、受け入れ、あるいは個々のユーザとして、確認はできたのではないでしょうか。

今回のランサムの被害を受けた主たる責任は間違いなくシステム会社だと思いますが、私は、事件調査の詳細によっては、病院側にも責任が出てくる気がしています。

 

まず、今回のランサムは「GrandCrab」である事が、Security Next記事等に出ています。このランサムは、元々はAdobe Flash脆弱性を突くランサムでしたが、アップデートが繰り返されており、少なくてもバージョン4以降が今回使われたようです。

今回は病院担当側がランサムが動いてから早い段階で検知できたようなので、被害もそう大きくないのですが、バージョン4が攻撃するSMBの脆弱性については、大きな被害を出したWannaCryよりも高速にファイルを暗号化する様に進化しているようです。

japan.zdnet.com

調査によっては、病院側も完全無罪ではなくなるかも・・・というのは、そもそもランサムがどこから入って来たのかがまだ判明してないからです。メール経由であれば、、、アンチウィルスソフトが導入されていたとしても検知できないケースもある訳であり、怪しげなファイルを開いたのは病院内部の方という事も考えられますし、外部Web経由で・・・という事であれば、やはりそのWebを閲覧したのは病院内部の方である可能性が高く、公式発表の続報が出た場合に、少し恥ずかしい発表をしなければいけない、そんな可能性も残っているかも知れません。

 

GrandCrabの説明がされた上記記事では、、こうしたランサム被害を受けるケースについて、気になる部分がありますので引用しておきます。

 Fortinetの上級脅威リサーチャーJoie Salvio氏は、ブログ記事の中で、「インターネットからファイルをダウンロードするときには常に細心の注意を払うべきであり、特にアプリケーションの違法コピーのダウンロードはするべきではない。それらのソフトウェアは著作権法に違反するだけでなく、特に訓練されていないユーザーには大きなリスクになる」と述べている。

ZDNet記事より引用)

 

海外では病院はランサム被害の常連になりつつありますが、日本の医療機関も、こうした事件の脆弱性によく注意を払わないと、今後被害が増えてくるのではないでしょうか。

 

電子カルテのイラスト

 

更新履歴

  • 2018年10月27日PM(予約投稿)