大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書に学ぶ

大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書に学ぶ

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
情報セキュリティインシデント調査委員会報告書　概要版
https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf

　この事件、我々にも非常に教訓になる部分が多いですね。

　以下は、

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
情報セキュリティインシデント調査委員会報告書
https://www.gh.opho.jp/pdf/report_v01.pdf

　より。

「本事案は、病院が患者給食提供委託契約を締結していた E 社の給食センターのシステム構築事業者である C 社、および給食システムアプリケーションを提供している D 社がリモート保守に用いていたファイアウォール Z の脆弱性、または漏洩され公開されていた ID・パスワードを悪用して X が給食センターの情報基盤に侵入した。さらに C 社の情報基盤から病院に RDP1通信を用いて侵入。基幹システムや部門システムがランサムウェア「Elbie(エルビー)」に感染し、病院の電子カルテを含めたサーバーの大部分が暗号化され、ランサムノート（身代金要求文書）を提示し、内部侵入後には端末に不正なログオンを行った可能性もある事案であった。」

「中核的要因は、医療機関とベンダーなどのいわゆるステークホルダーとの責任分界点の不明瞭さである。サイバーセキュリティインシデントが起きた際に、どちらがどの責任に基づき行動を行うのか、特に本事案に関連している A 社、B 社、C 社、D 社、E 社を始めとしたステークホルダーとの契約や役割分担が明確でなかったことに問題がある。なお、この責任分界点の不明瞭さは、インシデントが発生する前の段階においても同様であり、保守や脆弱性管理などのセキュリティ対策に係る役割分担など、インシデントを防ぐための行動についても誰が何をするかの責任が不明確であった。
　さらに、病院におけるセキュリティに対する知識不足もさることながら、ベンダーの知識や意識、準備不足なども重なっていた。結果として、既定値のままのポートで RDP 常時接続が許可され、ユーザーにシステムの管理者権限が付与され、サーバーの管理者 ID とパスワードがほぼ同一であった。このように、一般的な対策が施されていなかったことによってインシデントが拡大した。」

「4.2.3. 技術的発生要因のサマリー

今回の侵入経路は、E 社の給食センターを経由したサプライチェーン攻撃であった。侵入経路となったファイアウォール Z のファームウェア更新は行われておらず、当該機器の ID とパスワードの漏洩も確認された。また、病院は C 社の依頼にしたがって、ファイアウォール Y において、E 社の情報システムからの RDP 通信（ポート番号：3389）を常時接続可能にし、その後、運用状況の確認や改善を怠ったため、E 社への攻撃が病院に波及した。」

「さらに、閉域網の安全性を過信していたことにより病院の情報システムのセキュリティが脆弱となっていた。そのため、侵入後にその機器を足掛かりにネットワーク伝いに次第に重要なサーバーや機器に近づく、いわゆる「横展開（水平展開）」を許してしまった。
　これまで医療機関においては「医療機関内部のシステムは外部とはつながっていない閉域網だから安心」という認識に基づいて、セキュリティを考えない傾向にあり、脆弱性が放置され、セキュリティを高める設定が行われない状況がある。その悪しき慣行も本事案を発生させる要因となってしまった。本事案においても、Windows の初期設定が適切に変更されていれば、大規模に横展開されることなく、インシデントの広がりを防げた可能性が高い。」

　で、まずやるべき対策は下記。

△
横展開を許した初期設定とその再発防止策の整理
再発防止策
⚫ ユーザーは原則管理者権限のない標準ユーザーアカウントに設定。
⚫ 管 理 者 権 限 を 持 つ ユ ー ザ ー は 、「administrator」のような安直なユーザー名を利用しない。
⚫ ユーザーアクセス制御3を適用させ、管理者権限を要する重要な操作が意図せずに自動実行されることを防ぐ。
Windows のパスワードを、サーバー、端末毎にすべて個別化（ユニーク化）。
アカウントロックアウトの設定を有効化。
電子カルテシステムサーバーにもウイルス対策ソフトをインストールする。
▽

　各社、恐らくいろいろ頭痛いところですけれどね。