PR

医療システムのランサムウェア被害に学ぶセキュリティ対策:原因と対策

セキュリティ対策

前回は、医療システムのランサムウェア攻撃の事案の概要について説明しました。

ここでは、医療システムに対するランサムウェア攻撃事案の原因と対策について説明します。

ここで取り上げているランサムウェア攻撃の事例は、過去の事例と共通点があること、そして、基本的な対策でリスク対策となることがわかります。

バックアップからの復旧作業をなぜ事前にやっておくかもポイントです。

スポンサーリンク

ランサムウェア攻撃事案の原因と対策

医療システムに対するランサムウェア攻撃事案の原因と対策について説明します。

VPN装置というと専門的な知識が必要で難しそうなイメージがありますが、誤解を恐れず簡単にいうならば、

  • 社内システムを(インターネットを経由で)外部から接続できるようにする装置

のことです。

過去の事例との共通の原因

ここで取り上げているランサムウェア攻撃の事例は、過去の事例と共通点があります。

過去の類似事例の教訓が活かされなかったともいえます。

ランサムウェア攻撃の原因を列挙します。

  • (システム等の)管理者パスワードの使いまわし
  • サーバー・端末(PC)ユーザーへの管理者権限の付与
  • これらの結果、ウイルス対策ソフトが停止された。

これらの原因は、過去の病院で発生したランサムウェア事案とまったく同じものでした。

過去の病院へのランサムウェア攻撃は、高度な攻撃だったわけではありません。

次のようなランサムウェア攻撃に弱いシステムを攻撃されています。

  • コンピュータやネットワークシステム(ハードウェア含む)のソフトウェアの脆弱性が放置されていた。
  • システム管理者の権限を付与してユーザーが使用していた。

これは病院に限った話ではなく、これらの脆弱性をもつ弱いシステムがあると、同様のランサムウェア攻撃による被害を受けることになります。

自社について、管理されているかどうかを含め、早急に確認すべきことを列挙します。

  • VPN装置の脆弱性管理(脆弱性が発見され対策が出たら速やかに処置する)
  • VPN装置のIDとパスワードの見直し
  • サーバー・端末(PC)ユーザーに対する管理者権限の付与の中止
  • サーバー、端末(PC)の管理者の ID、パスワードの使いまわしの停止

いずれも、難しいことではなく、やるか・やらないか、続けているかどうかがポイントです。

厚生省ガイドラインで防げたはずなのに

電子カルテなどの医療系システムは、閉域網(病院内だけのネットワーク)で構築されています。

閉域網は、境界型セキュリティの1つであり、閉域網が強固に守られていれば(ネットワーク網に外部からの穴がなければ)安全だと考えられます。

問題は、この閉域網にVPNという外部との接続点(閉域網の穴)を設けながら、これによるリスクを評価し、必要な処置をしなかったことです。

なぜ、閉域網にVPNで穴をつくるかというと、外部(閉域網の外)からシステムの保守をするために、システムベンダーなどがVPN接続によるリモート保守を行うためです。

VPN接続によるリモート保守は、ユーザーである病院側と保守サービスを提供するシステムベンダー側の双方にとってメリットがあります。

しかし、VPN接続によるメリットは、悪意ある第三者の侵入口にもなることを現実のこととして考えることが必要でした。

閉域網は安全であることを前提にすることで生じるリスク

「医療系システムは閉域網であるから安全である」ことを前提としてしまうと、次のようなやっていて当たり前のランサムウェア攻撃対策が放置されてしまいます。

  • Windows Updateの未実施
  • 脆弱性のあるプロトコルの使用
  • 資格情報のハードコーディング(システムやソフトウェアに資格者情報を埋め込んでしまうこと)
  • 未使用ポートの放置

本ランサムウェア攻撃事案でも、上述のことが多数確認されています。

セキュリティ知識のある人材の欠如

医療関係者の中で、「3省2ガイドライン」や「医療機関における医療機器のサイバーセキュリティ確保のための手引書」を熟知している担当者は、ごくわずかであるという現実があります。

本ランサムウェア攻撃事案は、厚労省のガイドラインを順守することで、十分に防げたものでした。

しかし、そのガイドラインを理解し対策等ができる担当者が少なく、結果的にガイドラインを活用できなかったということになります。

本ランサムウェア攻撃事案の報告書では、次のような現状分析となっています。

  • 医療関係者とベンダーが自ら作り上げた閉域網神話により、社会一般においてごく当然に行われているセキュリティ対策や脆弱性対策が放置されている。
  • そのため、医療関係者もベンダーもセキュリティ知識が向上しない、という悪循環に陥っている。

これらのことは、本事案に限った話ではなく、ガイドラインに準拠していない組織であるならば、どこでも発生し得るものです。

はかせ
はかせ

明日は我が身と思い、次に示す調査と是正処置が推奨されています。

すぐやるセキュリティに関する調査と是正処置

本ランサムウェア攻撃事案の原因と対策を教訓とするため、次のことを速やかに実施することが必要です。

初期侵入の防止

初期侵入の防止とは、次のようなVPN装置の脆弱性対策を実施することです。

  • 月次でVPN装置の脆弱性情報を入手し、最新の脆弱性修正プログラムが適用されていることを確認する。
  • 必要に応じ、自動更新の設定の有無を確認し、自動更新を設定する。

初期侵入の防止

初期侵入の防止とは、次のようなVPN接続に使用しているID、パスワードを推測困難なものにすることです。

  • 「P@ssw0rd」などのよく利用されるものを禁止する。
  • パスワードは16桁以上のパスフレーズを採用する。

パスワードやパスフレーズは、なるべく長いものとし、繰り返しやキーボード配列などが使用されていないことを確認します。

管理者権限の限定的付与

管理者権限の限定的付与とは、一般ユーザーは標準ユーザーで運用することです。

  • 管理者権限が必要なアプリケーションは、是正、刷新(新規導入)を検討する。
  • 使用するサーバー、端末を限定する。

特権昇格の防止、水平展開の防止

特権昇格の防止、水平展開の防止では、次のことなどを行います。

  • 月次でWindows Updateを必ず実施する。

水平展開の防止

水平展開の防止とは、Windowsの管理者パスワードの使いまわしの禁止です。

  • 1 台ごとに管理者パスワードをユニーク(別のもの)にする。

個人情報漏洩防止

個人情報漏洩防止とは、次のことを行います。

  • 個人情報が入ったファイルの暗号化やパスワード設定

事業継続維持

事業継続維持とは、次のことを行います。

  • 重要なシステムのオフライン・バックアップの取得
  • バックアップからの復旧のテストの実施

バックアップからの復旧は、必ず実施しておくことが必要です。

はかせ
はかせ

重要システムのバックアップデータからの復旧は、必ず実際にやってみることがポイントです。

後悔先に立たず、自分の会社でも起きうることです

ランサムウェア攻撃対策というと、何か難しくスペシャルな対策のようなイメージをお持ちかもしれませんが、何か特別なことをするわけではありません。

厚労省のガイドラインにそって、

  • 今使っているシステムを知る
  • システムの使い方を知る

ことをはじめることが重要です。

以下、リスク対策とバック・アップについて補足します。

VPN装置のリスク想定の欠如

本ランサムウェア攻撃事案でも、VPN装置の設定は過去の事例同様次の状態でした。

  • 侵入されたVPN装置の接続元IPアドレス制限がなされていない。

これは、

  • 全世界(インターネット)からの攻撃が可能である。

という状態だったということです。

結果論になりますが、

  • VPN接続を保守サービスをするシステムベンダーに限定する設定にしていれば、ランサムウェア攻撃を防げた。

ともいえます。

さらに、ソフトウェア等の脆弱性の保守を行わず、VPN装置への攻撃を全く想定していませんでした。

不完全なオフライン・バックアップ

ランサムウェアによる攻撃により、

  • 共有ストレージのRAID情報(バックアップデータを管理する情報)の喪失
  • 不完全なオフライン・バックアップ

だったため、オフライン・バックアップからの復旧ができませんでした。

実際の作業では、手動でのデータ復元作業となり、多大な時間とコストを費やす結果となっています。

オフライン・バックアップは、バックアップしていればよいというものではありません。

バックアップのデータが正しく、かつ、完全なデータであることが必要です。

事前に、オフライン・バックアップから確実に復旧し、システムを再稼働できるか検証しておく必要があります。

はかせ
はかせ

バックアップからの復旧作業は、一度でも経験しておかないと非常に不安なものです。

バックアップからの復旧を事前に経験することで、いざという時にどの様な手順で進めるか手順をまとめたり、本当に必要なデータは何かなど気づきがあります。

スポンサーリンク

まとめ

医療システムに対するランサムウェア攻撃事案の原因と対策について、次の項目で説明しました。

ここで取り上げているランサムウェア攻撃の事例は、過去の事例と共通点があること、そして、基本的な対策でリスク対策となることがわかるかと思います。

バックアップからの復旧も事前に確認することもポイントです。

  • ランサムウェア攻撃事案の原因と対策
    • 過去の事例との共通の原因
  • 厚生省ガイドラインで防げたはずなのに
    • 閉域網は安全であることを前提にすることで生じるリスク
    • セキュリティ知識のある人材の欠如
    • すぐやるセキュリティに関する調査と是正処置
      • 初期侵入の防止
      • 初期侵入の防止
      • 管理者権限の限定的付与
      • 特権昇格の防止、水平展開の防止
      • 水平展開の防止
      • 個人情報漏洩防止
      • 事業継続維持
  • 後悔先に立たず、自分の会社でも起きうることです
    • VPN装置のリスク想定の欠如
    • 不完全なオフライン・バックアップ
スポンサーリンク
タイトルとURLをコピーしました