Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Hancock Health Hospitalのランサム被害事件をまとめてみた。

調べてみた。 海外事件 不正アクセス事件

米国インディアナ州Hancock Health Hospitalがサイバー(ランサムウェア)攻撃を受け、5万ドルの身代金(Ransaome)を払ったという記事がありました。この件について調べてみました。

 

www.hancockregionalhospital.org

公式発表

インシデントタイムライン

日時 出来事
2018年1月11日 9:30PM 洗練された犯罪者グループにより、重要システムに対するベンダーのログイン情報使われ、情報システムがマルウェア(SamSam)によるリモート攻撃を受けた
  ITスタッフがシステムパフォーマンスの変化を検知し、PCスクリーンにSamSamマルウェアにより暗号化が行われたメッセージを発見。7日以内の4Bitcoinの身代金支払いを要求された。
  ITスタッフは災害対応手順を実行し、全てのネットワークとデスクトップシステムをシャットダウンしたが、1200名の従業員の中には既に帰宅している人も多く、全ての端末を物理的にシャットダウンするのは困難を極めた。
2018年1月11日 事件の第一報
2018年1月12日

サイバーセキュリティ専門家(Pondurance)らと契約
FBIが捜査を開始

深夜に身代金(4ビットコイン)を支払い、解除キーを入手

2018年1月15日

2018年1月19日

メインのシステムが業務レベルまで復帰

事件の第二報(CEO)
事件の状況 
  • 1/11夜に洗練されたハッカーグループ(東欧と推測される)により、リモートデスクトッププロトコル経由で、重要システムベンダーのログイン情報が不正利用され、ITシステムにマルウェア(SamSam)が病院のメイン拠点と、電子的に接続されていたバックアップサイトが攻撃され、1400ファイルが暗号化されてしまった。
  • ハッカーは4ビットコイン(約137万円×4ビットコイン=約550万円)を7日間以内に支払う事を要求
  • ビットコインの支払いはTORウェブブラウザ経由でDarkWebで支払い可能である旨のメッセージがあり、解除キーを入手するまでの手順が細かく書かれていた。
  • 病院側はバックアップファイルは直接被害を受けてないと判断していたが(※後にバックアップファイルも影響を受けていた事が判明)、バックアップからの復帰には時間がかかる事が予想され、患者へのサービス提供を考えて難しい判断だったが身代金の支払いを1/12深夜に決めた。

 

原因

  • 洗練された犯罪者グループ(東欧と推測される)により、リモートデスクトッププロトコル経由で、、重要システムに対するベンダーのログイン情報使われ、情報システムおよびバックアップデータがマルウェア(SamSam)によるリモート攻撃を受けた

 

◆キタきつねの所感

SamSamの攻撃は、JBossサーバの既知の脆弱性を不正利用する攻撃と言われています。この攻撃が0ディ攻撃だったのか、パッチを当ててなかった事による対策不備に起因していたのかは分からないのですが、ネットワーク接続されたバックアップサイトまで侵害している事から、通常のメール添付のマルウェアと違い、標的型(APT)攻撃の一種と言っても良いのかと思います。

The fact that this was a premeditated attack specifically targeted on a health care facility makes the attack indefensible in my estimation. (CEOの発表)

CEOの事件へのコメント発表を見ると、防御不能だったと書いていますが、攻撃ルートがリモートデスクトップサービスに対する、業者のID情報の不正利用ですので、私はここで防げた事件ではないかと思います。私の専門とするPCI DSSではリモートアクセスに対して多要素認証を要求しています。

PCI DSS v3.2 要件8.3

CDE に対する、すべての非コンソール管理アクセス、ならびにすべてのリモートアクセスについて、多要素認証を使用して安全に保護する。

 

米国流通大手のTarget社の事件を始めとして、エコシステムの端に位置するようなサードパーティの入るルートというのは、攻撃側から見ると格好の攻撃対象となり始めています。

 

また、ランサムウェアSamSamによる攻撃はセキュリティベンダーにより2016年頃から攻撃警戒についての警鐘が鳴らされています。ウォッチガードテクノロジー社のデータ(※下記動画参照)だと、スパムメールだと1%の攻撃成功率であるのに対して、ランサムウェア被害者の1/3が身代金支払いに応じるとあり、効率的な金銭入手の手法として、2018年もランサムウェアの脅威は拡大すると言われています。

 

youtu.be

日本だと、病院(医療)の分野では、USBトークンや書類を無くした、あるいはWebサーバへの脆弱性を突いた個人情報の漏えい程度の大型被害しか出ておらず、ランサムウェア被害では私の知る限りでは、昨年のWannaCryで日立総合病院が、家電量販店との受発注システムで被害を受けた位しか記憶がありません。勿論隠蔽されている事件が多数あるのかも知れませんが、ハッカーには『病院が抱えてる情報は儲かる』という前例が多数出始めているので、遠からず大きな事件が起きるのではないかと懸念します。

 

 

下記参考まで。

the01.jp

www.itmedia.co.jp

www.itmedia.co.jp

 

 

大病院のイラスト

更新履歴

  • 2018年1月21日 PM(予約投稿)