全米歯科医院へのランサム攻撃

ランサムは依然として脅威であるのですが、WannaCryの様に多くの端末を狙った攻撃だけでなく、業務サービス提供を行うサードパーティを狙った攻撃によってランサムが拡大する、日本の医療系でも将来起こり得るのではないでしょうか。fox6now.com

WEST ALLIS-全国の数百の歯科医院がランサムウェア攻撃の標的になりました。攻撃を受けたIT企業のPerCSoftは、ウェストアリスを拠点としています。社会保障番号を含む患者データが危険にさらされたかどうかは、すぐには明らかになりませんでした。

Wisconsin Dental Associationからのリリースでは、West Allisを拠点とするITベンダーPerCSoftに関係する問題であると説明しました。PerCSoftは、デジタル歯科記録のクライアントデータのバックアップに使用されます。PerCSoftは、8月26日月曜日にランサムウェア攻撃の標的になりました。

ランサムウェア攻撃ランサムウェア攻撃とは、攻撃者が貴重なデジタルファイルをロックし、それらを解放するために身代金を要求することです。

攻撃の数日後の8月30日金曜日、多くのオフィスはまだファイルにアクセスできませんでした。

（Fox6記事より引用）

■公式発表　** IMPORTANT MESSAGE FOR DDS SAFE CLIENTS **

◆キタきつねの所感

ランサムの攻撃対象であるPerCSoftは、米国ウィスコンシン州にあるIT企業で、オンラインデータバックアップを提供するだけでなく、医療記録、保険書類、X線画像情報変換などのクラウド管理サービスを多くの歯科医院に提供しています。

f:id:foxcafelate:20190901072416p:plain

ランサム攻撃は8/26に発生し、一部の医療記録の暗号化（ランサム化）する事に成功しています。しかし、記事を書いている9/1現在では、まだ完全には復帰してない様です。

影響を受けた歯科医院は全米で400以上ともいわれており、診療（過去履歴閲覧）や支払い処理に影響が出ている様です。

メディア（Facebook)上では、一部の歯科医院がランサム（身代金）を払ったのではないかという画面キャプチャーが公開されています。

f:id:foxcafelate:20190901073651p:plain

今の所、大元のPerCSoftがランサムを支払ってはいない様ですが、データ復帰には苦戦している様です。

侵害を受けた原因についてはFBIらと強調して調査中とのコメントしか出てないので、どういった経路で攻撃を受けたのかは不明ですが、KrebsonSecurityを主催するBrian Krebs氏は関連記事の中で、クラウドやバックアップサービス事業を行うサードパーティがランサムの攻撃対象となっている事を懸念しています。

クラウドデータとバックアップサービスは、ランサムウェアを展開するサイバー犯罪者の主要なターゲットです。7月、攻撃者はクラウドホスティング会社であるiNSYNQをQuickBooksに攻撃し、同社の多くのクライアントのデータを人質にしています。2月、ランサムウェアのin延の後、クラウド給与データプロバイダーの Apex Human Capital Management が 3日間オフラインになりました。

（中略）

「ほとんどの場合、身代金の支払いは、保険会社が他の方法でカバーしなければならない収益の損失よりもはるかに安くなります」とProPublicaの広報ディレクター、チョ・ミンヒはKrebsOnSecurityへのメールで述べました。「しかし、ハッカーに報いることで、これらの企業はランサムウェア攻撃を助長する倒錯したサイクルを作り出し、それがさらに多くの企業や政府機関を買収ポリシーに陥れています」

「実際、ハッカーはサイバー保険に加入していることを知っているアメリカ企業を特に脅迫しているようです」とチョー氏は続けます。「ある小さな保険会社がWebサイトでサイバー保険契約者の名前を強調した後、そのうち3人がランサムウェアに攻撃されました。」

（KrebsonSecurity記事より引用）※機械翻訳

また、同じ記事の中でProPublicaの専門家のコメントとして、サイバー保険に加入している事が判明している（公表している）企業も、ランサムを払う可能性が高い事から、攻撃対象となっている事を説明しています。

原因については様々な推測がされていますが、（※Krebs氏の記事の下にあるコメント欄はセキュリティ専門家が多くコメントを入れているので勉強になる事が多いです）

侵害被害を受けたPerCSoftが未だに回復に苦戦をしている事から、これらのコメントを読んでいて、気になった投稿コメントを拾ってみます。（※機械翻訳なので少し読みずらいですが）

f:id:foxcafelate:20190901075940p:plain

（キタきつね）オフラインバックアップは特にランサム対策として重要です。

f:id:foxcafelate:20190901075902p:plain

（キタきつね）でも週次のオフラインバックアップを予定していて、実際はバックアップされてない（バックアップしている事を担当が確認してない）事が多々ある、これも考慮すべきポイントですね。

f:id:foxcafelate:20190901080111p:plain

（キタきつね）フルバックアップではなく差分管理・・これは多くの企業がそうしている事かなと思いますが、重要かと思います。また、データ回復する事を考えたNASの選定についても一読の価値がありそうです。

f:id:foxcafelate:20190901080207p:plain

（キタきつね）米国では法令対応（HIPAA）があるので、こうした外部のクラウドサービスプロバイダーを使うのが一般的＝ハッカーの潜在的攻撃対象になりやすい、この投稿からそうした背景も見えてきます。

f:id:foxcafelate:20190901080244p:plain

（キタきつね）そして、毎度の様に出てくるのは「パスワード管理」あるいは「多要素認証によるアクセス」ですが、、、投稿コメントの真偽の程はわかりませんが、侵害を受けたプロバイダーのクラウドサービスのパスワード管理（認証）に問題があった可能性があり、個人的には管理者パスワードが脆弱だった・・というのがランサムが拡散した（配信された）原因だった可能性があるのかな？と思います。

■日本人のためのパスワード2.0 ※JPAC様ホームページ

7/8に日本プライバシー認証機構（JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。