ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。
脆弱性を放置、認証情報の流出にも気づかず
調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。
調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。
さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。
根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。
パスワードは最短5桁、マルウエア対策ソフトも停止
脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/
UTMのアップデートしなかったのかよ
Windows Updateも無効にしてた模様
リスト公開じゃなく、連絡しよよ
>>6
販社は別なので、連絡先不明。
言わせんな恥ずかしい。
5桁総当りで突破できるとかざるすぎ
> 8万7000台の装置の認証情報が流出したとフォーティネットが公表し
ここが一番悪いんだけどな
FortiGate 60E脆弱性放置
VPN認証情報流出
Active Directoryパスワード5桁
ロックアウトなし
マルウエア対策ソフトなし
WindowsUpdate無効
WindowsパーソナルFW無効
Windows7
ActiveX・Silverlight有効
>>15
役満どころの話じゃねえぞそれw
>>15
これで金取って保守運用請け負ってた会社なんて無いよね
無いって言ってよね……
>>15
これの調査報告書はここで読める
https://www.handa-hospital.jp/topics/2022/0616/index.html
>>24
病院自体は信用できるな
業者がアホ
大手ベンダいるよね普通
病院ってIT部門あるの?
セキュリティとか無いようなもんだろ
>>18
あっても元請から派遣されてくるw
>>18
あるとこはある
ただ、無いとこの方が多い
顧客が自分のところに入っているシステムとか設定を把握しているわけない
脆弱性なんて、パッチ当てないとやばいっすよって言い続けてもその費用出そうと一ミリも考えてないとこ多いからな
今まで何も起きてないから大丈夫でいくとこはやばい
システム運用者設置してなかったんじゃないの。作りっぱなし。
設置A社、復旧B社、アプリ保守C社以上3社だもん登場人物。
そもそも、高度な個人情報などがあってとても高いセキュリティ性を求められる病院内
のITサービスを、VPN上に構築したんだろう?
こういうサービスを行うネットワークは、普通はインターネットと物理的に分けるけ
どね
複数拠点間でつなぐ必要性があったとしても、VPNじゃなくて専用線を使うだろ?
>>28
専用線だとコストが掛かるから、偉い人が嫌がったんじゃないかな
こーゆうとこのシステム運用者なんてプリンタに紙が詰まった
とかの対応しか出来ないよ
俺のことだがなw
ActiveDirectoryのロックアウト回数なんて
デフォで設定されてるのに、わざわざ外すってことは
病院側の移行やろ?さすがに自業自得
>>31
現場猫しぐさだな
>>31
間違えた時ロックかかるのが不便みたいな理由なのかな
安全装置うるせーから解除してたら死亡事故発生しました的な
>>38
まぁこれやろな
こういうことをやってる事業所はけっこう多いと思うわ 特に中小
こんな感じのセキリュティ至る所にあるだろ
無茶苦茶やん。保守管理する人が居ないのか?
サーバーのアップデート無効指示したのは、システム納入したソフト会社では?
問題起こらないようにってよくあるぞ
滞りない運営>>糞アップデートでシステム停止
>>52
VPNだけで閉じた外部接続しないネットワークなんじゃね?
本来は定期的に手動でアップデートすべき案件
専用のセキュリティ担当置けないなら共用のセキュリティサービスで商売できそうかな?
> なお、Fortinet 社製のネットワーク(VPN)装置は、導入当初からソフトウェアの更新が行われておら ず、2021 年の夏に日本国内でも話題になった「CVE-2018-13379」が放置された状態であり、当該脆弱性 を悪用して侵入した可能性が高い。本侵入経路を証明するために VPN 装置等のログの分析を試みたが、イン シデント発生後に A 社によってファームウェアの更新などの作業を、ログ保存などを鑑みずに実施されてい たため調査を実施することができなかった。
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
A社、証拠隠滅してて草
>>56
主犯A社やなw
>>56
犯人分かっちゃったな
>>56
あっ!
>>56
FortiGate60Eはログ保管用のディスク内蔵してないから、基本的に内部に保管されたログでの調査はできないよ。
数日分程度しかログ残らない。
あとA社としては、ハードウェア保守契約だけだったらしいから、ソフト(ファームウェア)はしらんってスタンスらしい。
導入したあとの保守は考えないよくあるやつか
ADの管理者用PWが5桁って
クライアントPCのログインPWでもアウトな桁数だろ
どんなシステム運用してんだよww
>>84
そもそも、デフォだとパスワードの要件制限付いてて5桁とかできないだろってなるので
わざわざADのパスワード要件緩和してたってことに……
病院のシステム担当なんか年収500万いかないだろ
800万くらい出さないと経験豊富な奴は雇えんぞ
客が古い端末を使い続けて新しいのを買わない
↓
端末が古すぎでセキュリティかけると動かない
↓
古いままで動かせという
これだと業者もどうしようもないんじゃね?
UTMって普通ライセンスあれば勝手に自動更新するものだろ
>>102
パターンファイルなんかはそうなんだろうけど
ソフトウェアそのものに問題があるなら
ファームウェアの更新とかが必要では?
>>113
設定すればファームウェアの自動更新もできるだろ
おれ、病院のシス管だけど上層部の理解が悪すぎ。コストかかるからウイルス対策更新させてくれないとかそんなレベルだぞ。まだXP動いてるし。
サーバーなんて保守切れ上等。ネットワーク保守はスポット対応契約
俺一人だしもう逃げ出したい
これって,A社が保守契約あったのに
何もしてなかったということ?
>>120
保守契約あっても
端末がサポート切れだらけだとどうしようもないよ
よくわからんが
うちの四けたよりはましだねw
ウチは15桁以上で大文字小文字数字記号全部含める決まりになってるな
以前は90日制限あったけど有効期限は無くなった
>>133
有効期限付けると却ってパスワードが脆弱になるんだよな
hogehoge0616 とかw
ランサムは人災だからどんなに設備システム増強しても無駄
ファームはハードのうちに入るという認識でもいいと思うけどな
正直A社、苦しいと思うけど
なんかしれっと対策ソフト停止ってあるけど
最後はここだな
