ここまで、医療システムのランサムウェア攻撃の事案の原因と対策について説明してきました。
今回医療システムのランサムウェア被害の報告書を読んでみたことで、難しそうだからとか理由をつけて(言い訳をして)先送りをしていると、結果的にできることさえやらないことになり、リスクが増えていくことを再認識しました。
さらに、ここで取り上げたランサムウェア攻撃事案の報告書では、
- 過去にも同じ様な事例があること(なのに同じ様な原因で被害を受けてしまった)
- 基本的な対策でリスク対策となること(できることさえしていなかった)
ことが繰り返し説明さており、できることさえしてこなかったという意味では、人災であるともいえます。
日々の業務に追われてしまう状況であることは想像できますが、毎日が忙しいからランサムウェア対策をやらなくてもよい理由にはなりません。
ランサムウェア攻撃を受けてから後悔先に立たずとなるわけですが、自社は(自分は)大丈夫だろうと思ってしまいがちなようです。
バックアップをとっているから攻撃を受けても復旧できると思っていても、事前に復旧できることを確認しておかないと、ランサムウェア攻撃による被害を復旧できないことも当然ありうるわけです。
ここでは、現在のサーバー攻撃による脅威や医療システムのランサムウェア攻撃対策や復旧について説明します。
サイバー攻撃による脅威は増加傾向
医療システムのランサムウェア攻撃事案の報告書でも触れていますが、警察庁の「サイバー空間をめぐる脅威の情勢等」をみると、日本国内でのランサムウェア被害報告件数などからサイバー攻撃による被害が増加傾向であることがわかります。
警察庁の以下のリンクに「令和6年におけるサイバー空間をめぐる脅威の情勢等について」の資料があります。
- ホーム>刊行物>統計>サイバー空間をめぐる脅威の情勢等
サイバー攻撃が増えている理由
サイバー攻撃が増えている理由には、
- 攻撃者が暗号通過を利用することで、匿名性を保ちながら(誰か分からないように)身代金を要求できる。
- コロナ禍による、VPN装置によるリモートワークが一般的なものとなり、社内システムの保守もリモートで行うケースが増えている。
ことなどがあります。
ランサムウェア攻撃による被害が発生した理由と対策
攻撃者によるランサムウェア攻撃を減らすことはできませんので、ランサムウェアによる攻撃事案が起きたか振り返ります。
ここで取り上げた事案だけでなく、同じ様な過去の医療システムのランサムウェア攻撃の事案は、次のような手順で攻撃されています。
- 脆弱なVPN装置から侵入
- 弱いパスワード設定
- 一般ユーザーへの管理者権限の付与
- 管理者権限によるウイルス対策ソフトを停止
- ランサムウェア攻撃の準備・実行
攻撃者の視点に立つと、
- 脆弱なシステムを探したり、脆弱なシステムの情報を入手して攻撃している。
- 高度な攻撃ではなく、簡単な攻撃ができるシステムを狙っている。
ということです。
この様なランサムウェアによる攻撃を防ぐためには、次のようなことを行うことで、ランサムウェア攻撃を防いだり、被害を小さくすることができるということです。
- サーバーやPC端末のユーザーには、管理者権限ではなくユーザー権限を設定する。
- システムやウイルス対策ソフトのサービスは、管理者を与えられた管理者のみ行えるようにする。
これだけでも、
- ランサムウェア攻撃を防いだり、攻撃されてもそれを遅らせる(攻撃されていることを早くしることができる)可能性が高くなります。
- 攻撃者が社内ネットワークへの侵入を最初に試みる手段であるリモートデスクトップの設定や、不正なログインをロックアウトする設定により、被害を小さくすることもできます。
(繰り返しになりますが)早急に確認すること
医療系のシステムで取り扱う情報は個人情報(要配慮個人情報)であるため、ランサムウェア攻撃による被害の影響は病院経営にも直結する大きな問題です。
一般企業にとっても、社内システムがランサムウェア攻撃による被害を受けると、社内外に大きな影響を与えてしまいます。
社内に情報システムやランサムウェア攻撃などの知見のある人材が少ないケースもあると思いますが、次のことが管理された状態にあるかどうかをを含め、早急に確認することをおすすめします。
- VPN装置の脆弱性管理(脆弱性が発見され対策が出たら速やかに処置する)
- VPN装置のIDとパスワードの見直し
- サーバー・端末(PC)ユーザーに対する管理者権限の付与の中止
- サーバー、端末(PC)の管理者の ID、パスワードの使いまわしの停止
そして、重要な情報のバックアップは、
- バックアップしているから安心
ではなく、
- バックアップデータから、何をどこまで復旧できるのか、実際に確認する。
ことが重要です。
個人で使用しているPCを新しいPCに変更する時、同じように仕事ができるようにするにも、ソフトウェアのアップやデータコピーなどが必要です。
これが、重要なシステムのデータ普及であれば、復旧作業には慎重になるのが当たり前です。早く復旧したい気持ちと間違いなく復旧させなければいけないプレッシャーもあるということでう。
これでも先送りするのですか?
「後悔先に立たず」とはよく言ったもので、面倒だから、忙しいからと理由をつけて先送りしてしまうことがあります。
けれども、
- 先送りして何事も無かったのは、運がよかっただけかもしれません。
- 先送りしたことで問題が起きたけれども影響がなかったのは、リスクが小さく許容(受け入れられる)範囲だったからなのかもしれません。
そして、問題が起きてしまうと、
- やっておけばよかったと先送りしたことを後悔しながら対応する。
- 問題が収まると何事もなかったかのような毎日に戻る。
これの繰り返し。
予期せぬトラブルでの1つセキュリティ事故があります。
- 会社などでの情報漏えいやシステム・データの破損などのことです。
セキュリティ事故には、防ぐのは難しかったなというものもありますが、IDやパスワードの管理などをやっていれば防げるセキュリティ事故もあります。
やろうと思えばできるセキュリティ対策もありますが、それでも先送りしますか?
セキュリティ事故は、経験してからやっておけばよかったと後悔しがちです。
起きてからの諸々の対応が大変で、こんなことならできることぐらいやっておけばよかったと思うのもセキュリティ事故です。
参考:セキュリティインシデント対応訓練
IPA(独立行政法人情報処理推進機構)から「セキュリティインシデント対応机上演習教材」が公開されています。
- トップページ>情報セキュリティ>情報セキュリティ教材・ツール>セキュリティインシデント対応机上演習教材
まとめ
ここまで、医療システムのランサムウェア攻撃の事案の原因と対策について説明してきました。
今回医療システムのランサムウェア被害の報告書を読んでみたことで、難しそうだからとか理由をつけて先送りしていると、結果的にできることさえやらないことになり、リスクが増えていくことを再認識しました。
ランサムウェア攻撃を受けてから後悔先に立たずとなるわけですが、自社は(自分は)大丈夫だろうと思ってしまいがちなようです。
また、バックアップをとっていても、事前に復旧できることを確認しておかないと、復旧できない場合もあります。
ここでは、現在のサーバー攻撃による脅威や医療システムのランサムウェア攻撃対策や復旧について、以下の項目で説明しました。
- サイバー攻撃による脅威は増加傾向
- サイバー攻撃が増えている理由
- ランサムウェア攻撃による被害が発生した理由と対策
- (繰り返しになりますが)早急に確認すること
- これでも先送りするのですか?
- 参考:セキュリティインシデント対応訓練
