岡山県精神科医療センターランサムウェア事案に学ぶセキュリティ
840 Views
February 18, 25
スライド概要
最近のランサムウェア事例の紹介+α目的で利用したスライドです
関連スライド
各ページのテキスト
岡山県精神科医療センターランサムウェア事案に 学ぶ医療情報セキュリティ
概要 医療センター公式プレスより 令和6年5月19日に岡山県精神科医療センターがサイバー攻撃を受け、 電子カルテをはじめとする院内システムがランサムウェアと呼ばれる 身代金要求型コンピュータウイルスに感染し、法人内の診療所を含む 全カルテが閲覧できなくなるなどの大きな被害が生じた 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
調査委員会 一般社団法人ソフトウェア協会・Software ISAC 岡山県精神科医療センター ランサムウェア事案調査委員会 委員長 板東直樹 • 一般社団法人ソフトウェア協会フェロー/Software ISAC 共同代表 /アップデートテクノロ ジー株式会社代表取締役社長 委員 加藤智巳 • 一般社団法人ソフトウェア協会理事/Software ISAC 共同代表/BC Signpost 株式会社 代表取 締役副社長 委員 松山征嗣 • 一般社団法人ソフトウェア協会 上席研究員 (敬称略) ※フォレンジック調査 : 株式会社 LAC 社 / 株式会社くまなんピーシーネット 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
インシデントの概要 発生時期:2024年5月19日(深夜~早朝にかけて暗号化進行) 被害状況: • 電子カルテ・医事会計システムを含む仮想基盤が暗号化 • 仮想用共有ストレージを含む基幹データが破壊(復旧不能) • 要配慮個人情報(最大40,000人分)が漏洩 初期対応: • ネットワーク隔離、紙カルテ運用への切替 • 犯人との交渉・身代金支払いは行わず自力復旧へ方針転換 医療機関として診療停止は避けられず、紙カルテで診療継続しつつシステム復旧に 数か月を要した事例 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
攻撃の流れ (すごいざっくりと) 日付/時刻 主な出来事 05/13 02:41 VPN装置の脆弱性や推測可能なパスワードを用いて初期侵入開始 05/13-05/18 ネットワークスキャン、認証情報窃取、バックアップ探索 05/19 13:10- 病院内サーバー・端末への暗号化を実行(電子カルテ停止) 05/20 ランサムウェア発覚、紙カルテで診療継続 06/07 岡山県警より個人情報漏洩の連絡を受けて被害を把握 -08/17 仮想基盤再構築・サーバー更新・電子カルテ復旧を完了 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
病院情報システム全体構成 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
病院情報システム全体構成 • 典型的な「閉域網」として運用されていたネットワーク • データーセンター、本院、診療所のネットワークからインターネッ トを閲覧することはできない しかし、ベンダー側がコロナ禍以降、リモート保守による省力化のた めに VPN 装置を病院に設置している 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
攻撃者の行動 時期/行動 1. 初期侵入 (2024/05/13 02:41) 2. システム探索 (5/13~5/18) MITRE ATT&CK 詳細内容/緩和策 (タクティクス/テクニック例) Initial Access • 保守用SSL-VPN装置(Cisco ASAT1133: External Remote Services 5506-X)の脆弱性放置 T1563.002: RDP Hijacking • 推測可能なID/パスワード (administrator/P@ssw0rd)を使用 • ネットワーク接続後にRDPでADサー バーへ侵入し、権限を獲得 Discovery • ネットワークスキャンツールを設置アン T1046: Network Service Scanning インストールを繰り返し、AD情報や端末 T1018: Remote System Discovery 情報を収集 • 共有フォルダーの位置・バックアップの 有無を探る 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
攻撃者の行動 MITRE ATT&CK (タクティクス/テクニック例) 詳細内容/緩和策 • ADサーバーからドメイン管理者のID/パ スワードを窃取 3. 認証情報窃取 • 全端末「administrator / P@ssw0rd」が (5/16~5/18) 使い回しされていたことが要因で水平展 開が容易に Defense Evasion / Literal • 同一管理者権限を用い、RDPやSMB経由 Movement で複数サーバー・端末へ遠隔接続し、ウ 4. 水平展開~ウイ T1562.001: Disable or Modify イルス対策ソフト(Defender含む)を手動 ルス対策ソフト停 Tool で停止・削除 止 (5/19) T1563.001/T1563.002: Remote • 本件ではRDP/SMB管理共有が主要経路 Service Session Hijacking T1570: Lateral Tool Transfer Credential Access T1003: OS Credential Dumping T1555: Credentials from Password Stores 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
攻撃者の行動 MITRE ATT&CK 詳細内容/緩和策 (タクティクス/テクニック例) Impact • 病院の仮想基盤(ESXi/vSphere)および • T1486: Data Encrypted for 5. 暗号化 共有ストレージを暗号化 Impact (5/19 13:10~ • バックアップも破壊され復旧不能に 一部 • T1495: Firmware Corruption 17:34) サーバーのAutorun起動キーにランサム • T1485: Data Destruction ウェアを登録 (一部推測) Collection / Exfiltration • 共有ドライブ上のOffice文書、医事資料、 6. 情報窃取・漏洩 • T1039: Data from Network 議事録など最大4万人分の個人情報が窃 の確認 Shared Drive 取されていたと判明 (5/19~6/7) • T1020: Automated Exfiltration • 6月7日に県警より漏洩が確認 (Exfiltration) 時期/行動 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
主な原因・セキュリティ上の問題 脆弱性の放置・サポート 切れデバイス • Cisco ASAやFortiGateの古いOSバージョンを使用 管理者権限の乱用・推測 容易なパスワード • “administrator / P@ssw0rd”が全端末共通 バックアップ運用不備 モニタリング不足 • VPNに既知の脆弱性が複数残存 • 一般ユーザーにも管理者権限付与で対策ソフト停止を許していた • オフラインバックアップの契約は存在したが実施・検証されず • 結果的に本番環境と同時に暗号化され復旧不能となった • VPN装置やFirewall等のログ保存・監視が適切に機能していない • 症状が出ても重大インシデントと捉えず対策が後手に 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
再発防止策 1. パスワード・認証周りの徹底強化 • 管理者権限の付与範囲を最小化 • 多要素認証(MFA)の導入や、長く複雑なパスワード運用 2. ネットワーク機器の脆弱性管理 • サポート期限切れ機器は速やかに撤去または更新 • 定期的な脆弱性スキャン、パッチ適用 3. オフラインバックアップ + 復元テスト • ランサムウェアに備え、ネットワークから隔離したバックアップ • 定期的に復元テストを実施し、実運用で使えるか検証 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
再発防止策 4. 監視・インシデントレスポンス体制 • ログの中央管理と分析(SIEM/EDR活用) • インシデントハンドブックの整備と訓練 5. 組織的・人的対策 • セキュリティ意識を高めるための研修 • ベンダー、医療機関間で事例情報を共有 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より (https://www.popmc.jp/home/consultation/er9dkox7/lromw3x9/)
所感 • 高度なテクニックによって突破されたのではなく、典型的なWeak Pointが原因 • 閉域網であることを過信し、必要なセキュリティ対策が欠如してい る典型的な事例 • 電子カルテベンダー、部門システムベンダー、医療機器ベンダーが、医療 情報システムは「閉域網」であるからウイルスに感染しない、「閉域網」 であるから脆弱性を放置しても大丈夫という意識を未だに持ち続けている • インターネットから攻撃可能な VPN 装置が病院内に存在しても病院情報シ ステムは「閉域網」であるという前提を固持し、脆弱性対策やセキュリ ティ設定は実施されていなかった • VPN機器によって接続することのリスク認識が甘い
所感 今回の事例は、徳島県つるぎ町立半田病院、大阪急性期・総合医療セ ンターの事例とも類似する点がある • 病院側が第一義的な責任があるという認識 • ベンダーのセキュリティへの認識不足 地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書より
ベンダー・病院の問題 • 保守契約が結ばれていないクライアントにどこまで対応するのか • 半田病院の事例 「半田病院との保守契約はハードウエアにとどまり、ファームウ エアの更新など設定に関する保守の契約は受注していない。無償 での更新作業には応じられない」 日経XTECH「ランサム被害の徳島・半田病院、報告書と ベンダーの言い分から見える根深い問題」より