「後悔先に立たず」とはよく言ったもので、面倒だから、忙しいからと理由をつけて先送りしてしまうことがあります。
予期せぬトラブルでの1つにセキュリティ事故があります。会社などでの情報漏えいやシステム・データの破損などのことです。
セキュリティ対策は、難しいとか、面倒だとか、うちは大丈夫だろうとかいって先送りされがちです。
- けれども、先送りしてきて何事も無かったのは、運がよかっただけかもしれません。
- 過去問題が起きたけれども影響が小さかったのは、そもそもリスクが小さく許容(受け入れられる)範囲だったからなのかもしれません。
そして、思わぬタイミングで問題が起きると、やっておけばよかったと先送りしたことを後悔しながら対応するのに、問題が収まると何事もなかったかのような毎日に戻ってしまう。
セキュリティ事故には、防ぐのは難しかったなというものもありますが、IDやパスワードの管理などをやっていれば防げるセキュリティ事故もあります。
やろうと思えばできるセキュリティ対策について、ランサムウェア被害の例を使い説明します。
医療系のシステムに対するランサムウェア攻撃事例ですが、工場のITシステムなど他の業界でも参考になる内容だと考えています。
ランサムウェア事例に学ぶセキュリティ対策
ここで取り上げる、実際のランサムウェア攻撃により発生した事例を説明します。
事例説明の前に、ランサムウェアについて説明します。
ランサムウェアとは
仕事で使われるコンピュータは、社内だけでなくインターネットなどの外部ともネットワークでつながっています。
ランサムウェア(Ransomware)は、コンピュータウィルスで、次のような攻撃をします。
- 会社のネットワークで結ばれたコンピューターに感染し、ネットワークを利用して拡散します。
- 感染すると、コンピューター内のソフトウェア(プログラム)やデータを暗号化したりして使えなくします。
- その結果、社内の情報システムが使えなくなります。
- ランサムウェアと呼ばれるのは、暗号化に成功すると身代金(Ransom)の支払いを要求することからきています。
ランサムウェアに感染する前にはじまっている攻撃
ランサムウェアによる暗号化などは、ランサムウェアによる攻撃の最終段階になります。
ランサムウェアによる攻撃をするためには、事前準備が必要です。
事前準備には次のようなことが必要になります。
- 社内ネットワークへの侵入
- 攻撃対象となるコンピュータの調査
- ランサムウェアを実行を妨げるコンピュータウィルス対策ソフトの停止
つまり、事前準備をするためには、社内ネットワークに侵入する必要があります。
ランサムウェアの事前準備を防ぐ対策
攻撃する実行犯は、社内ネットワークに侵入するために、
- コンピュータやネットワークシステム(ハードウェア含む)のソフトウェアの脆弱性を利用(悪用)する。
- システム管理者やユーザーのIDやパスワードを知る。
ことが必要になります。
このことは、攻撃を受ける会社側としては、
- ウィルス対策ソフトを運用する。
- ソフトウェア(パソコンやシステムなど)の脆弱性を修正する。
- 推測しにくいパスワードを設定する。
だけでも、ランサムウェアによる攻撃リスクを大きく低下させることができるということです。
例えば、次のようなことを続けることがポイントです。
- ウィルス対策ソフトウェアは、最新の状態を維持する。
- ソフトウェア(パソコンやシステムなど)の脆弱性対策のアップデートをする。
- パスワードは、短いパスワードを使わない。
例えば、短いパスワードではなく、次のようなパスフレーズを使うことがランサムウェア攻撃を防ぐための有効な対策の1つとなります。
はかせ品質マネジメント:hakasehinsitumanezimento
これで、24文字です。
ランサムウェア事案の概要
ここで紹介するランサムウェア事案は、病院の電子カルテを含めた病院情報システムが、ランサムウェアによる攻撃を受け、病院の電子カルテが完全に使えなくなった事例です。
ランサムウェアの事案については、これから説明していきますが、ランサムウェア攻撃のきっかけとなった次のことは、過去のランサムウェア事案とほの共通でした。
- ネットワーク機器やコンピュータの脆弱性
- 弱いパスワード(推測されやすいパスワード)
- 弱い初期設定(ハードウェアの初期設定のまま使用)
これらは、次のことをしていればランサムウェアによる攻撃を受けなかった、もしくは、受けても小さい影響範囲で済んだといえます。
- ウィルス対策ソフトの利用
- Windows Updateの実施
- 長いパスワード(パスフレーズ)の使用
ランサムウェア事案
ここで参考にしているランサムウェア事案は、次の通りです。
2024年5月19日、岡山県精神科医療センターがサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、法人内の診療所を含む全カルテが閲覧できなくなるなどの大きな被害が生た。
ランサムウェア事案調査報告書は、以下のページにリンクがあります。
- PDFで62ページあります。
報告書に関する参考
ランサムウェア事案調査報告書は、次の組織によりまとめられています。
- 一般社団法人ソフトウェア協会
- Software ISAC(Information Sharing and Analysis Center)
- 岡山県精神科医療センター ランサムウェア事案調査委員会
なお、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、以下にあります。
主な用語の補足説明
ランサムウェア事案調査報告書に出てくる主な用語の補足説明を下表に示します。
- 報告書を読んでいく時に、IT関連業務をしていないとわかりにくいと思う用語です。
VPNを使っているから安全、SSLで暗号化しているか安全、ということはありません。
いわゆる閉域網(会社内のネットワークだから)安全といっても、社内システムの保守を外部に委託して、外部から社内システムの保守ができるなら、それは閉域網ではなく社外とつながる穴が開いているということでもあります。
| 用語 | 定義 |
|---|---|
| ランサムウェア | 被害者のファイルを暗号化したり、システムへのアクセスを制限したりして、データーやシステムの復旧に対する身代金(ランサム)を要求する悪意のあるソフトウェア(コンピュータウィルス) |
| Firewall |
Firewall(ファイヤーウォール) 一般的には、ルーター機能に加え、ネットワーク攻撃や不正なWebサイトへの通信を遮断するなどのセキュリティ機能や、SSL-VPN機能を提供する通信装置を指す。 パーソナルFirewallという場合は、Windowsに組み込まれている通信の許可・拒否を行うパケットフィルタリング機能を指す。 |
| IP-Sec VPN |
インターネット等を経て、企業内ネットワークや各拠点間の通信を安全に行うための仕組み IP-Secが暗号化、改ざんの検証、相互認証を司り、仮想専用ネットワーク (VPN)を構成する。 IP-Secで接続されたVPNは、通信の傍受や改ざんが困難であり、これを利用することで、インターネットを使った企業ネットワークを安価に構築できる。 |
| SSL-VPN装置 |
暗号化技術であるSSLと、仮想専用ネットワーク (VPN) を組み合わせた通信装置。インターネットを経由してLANへ安全に接続するために利用される。 多くはFirewallに組み込まれたSSL-VPN機能を利用することが多い。 |
| 厚労省ガイドライン | 厚生労働省 医療情報システムの安全管理に関するガイドラインの略称 |
| 2省ガイドライン | 総務省・経済産業省 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインの略称 |
| 3省2ガイドライン | 厚労省ガイドラインと2省ガイドラインの総称 |
まとめ
「後悔先に立たず」とはよく言ったもので、面倒だから、忙しいからと理由をつけて先送りしてしまうことがあります。
セキュリティ事故には、防ぐのは難しかったなというものもありますが、IDやパスワードの管理などをやっていれば防げるセキュリティ事故もあります。
やろうと思えばできるセキュリティ対策について、ランサムウェア被害の例と概要について、以下の項目で説明しました。
- ランサムウェア事例に学ぶセキュリティ対策
- ランサムウェアとは
- ランサムウェアに感染する前にはじまっている攻撃
- ランサムウェアの事前準備を防ぐ対策
- ランサムウェア事案の概要
- ランサムウェア事案
- 報告書に関する参考
- 主な用語の補足説明
次は、ランサムウェアによる攻撃事案の原因と対策について説明します。