半田病院ランサムウェア被害、有識者会議の調査報告書公表 様々な問題浮き彫りに
昨年10月末にランサムウェアの攻撃を受けシステムが停止し、復旧が年明けまでかかる事態となった徳島県つるぎ町立半田病院。病院からの委託を受け、一連の対応について調査を行った第三者の有識者会議が、このほど調査報告書を公表した。報告書では被害を受けた経緯、その原因や被害を受けた後の病院、関連事業者の対応についても評価し一部厳しい批判を行っている。
VPN機器の脆弱性を突かれ侵入を許す
報告書では攻撃を許し被害を受けた経緯について、はじめて系統的な報告がなされている。半田病院の電子カルテを含むシステムは閉域網で構成されており、外部からのアクセスはVPN機器経由としていた。評価は別として、小規模の医療機関ではよく採用される構成だったが、以下の理由により攻撃者がかなり容易に侵入できる危険性が放置されていた。
- VPN機器の脆弱性が放置されたままだった(当該VPN装置の管理者の資格情報がダークウェブで公開されていた)
- 閉域網内の各端末にインストールされている電子カルテシステムが古く、稼働させるためにOSが古いままだった(一部がWindows7)
- さらに電子カルテシステムの動作に支障があるとして、セキュリティ機能(ファイアウォールなど)の起動を取引事業者がさせていなかった
- 各端末のAdministrator ID が変更されていなかったうえに最小桁数の5桁設定
- 複数回のパスワード誤入力でロックアウトする設定もされていなかった
このため攻撃者が容易に、いわゆるパスワードの「総当たり攻撃」ができてしまう状況にあったとしており、実際にこの一連の脆弱性、セキュリティ設計の甘さを突かれ2021年10月31日未明に複数の端末にログインされ、暗号化ソフトLockbit2.0によってデータを暗号化されシステムが停止することになった。
なぜ復旧に2ヵ月もかかったのか 復旧担当の事業者に異例の批判と「疑惑」を提示
システム被害を受けた病院側は、当日朝、公立病院として町に報告のうえ警察に被害届を提出。診療を継続するため人海戦術をとり、手書きで情報を書きとるなどの災害発生時のオペレーションを発動、なんとか業務停止させずに持ちこたえた。報告書では病院側のこの対応を評価したが、依頼され被害復旧と「ファスト・フォレンジック」※を担当した事業者(報告書ではB社と表記)には厳しい言葉を連ねている。
報告書によると、被害発生後に復旧のため対応に当たったB社は、11月半ばにはデータの一部を復旧しサンプルとして関係者に見せ、復旧が可能な状態になったことを示したもののその後進捗を図ることができず「適合が困難で復旧に時間がかかっている」などと病院側に報告していたが、突如年末に全面復旧を果たした。この経緯に関して、報告書は暗号技術そのものを解決しなければデータ復旧は原理的に不可能であることから、「何かしらの方法で修復に必要な手段を入手」しデータの復元を行った可能性があると指摘した。なお病院は攻撃者に対し身代金を支払っていない。
また被害の原因調査やエビデンス抽出などを行うファスト・フォレンジックもB社が担当したが、病院がエンジニア派遣を要望したにもかかわらず応じなかったこと、侵入経路や被害範囲を想定しながら保全していなかったこと、輸送によるハードウェアの損傷などが生じる可能性や、院内の環境でなければシステムの動作などが正常に行われないなどの可能性があるにもかかわらず、対象端末を院外に持ち出して調査を行ったこと、さらにネットワークに接続してのウイルススキャンを指示するなど「インシデントの初動や調査の点からは考え難」く、「フォレンジックを行う企業としての対応に不備があると言わざるを得ない」と厳しい表現で批判している。実際、B社が以上のような対応をしたことで、さきほど紹介した侵入経路の詳細なエビデンスなどが失われており、多くのPCやサーバの攻撃の相関関係をつかむことができなかったとしている。
※ファスト・フォレンジック(Fast forensic)
早急な原因究明、侵入経路や不正な挙動を把握するため、必要最低限のデータを抽出及びコピーし解析すること。通常は障害発生した現場、端末に専用ツールを直接実行して必要なデータを収集する。
脆弱性を放置したシステム納入事業者にも厳しい批判
「善管注意義務を果たしていない」
侵入の原因となったVPN機器の脆弱性放置、端末のOSバージョンやセキュリティ機能の不稼働に関しては、病院にハードウェア・ソフトウェアの納入を行った事業者2社(報告書ではA社とC社)の後ろ向きな姿勢を糾弾した。報告書によると、実態としてはC社がA社に指示を出し実際の納入・設定などを行なっていたにもかかわらず、A社が病院と直接ハードウェア・OSの設定などの契約を行なっており、実態と契約関係の齟齬が生じていた。そのことが、C社とA社の保守運用の責任分岐点についての認識の齟齬に発展し、一連の脆弱性放置の原因となったと指摘した。病院側の人的・予算的リソースが不足し運用保守契約が結ばれていないことにも言及しつつ、しかし契約がないことでそうした齟齬を意識的に放置していたことを否定できないと批判した。
また、脆弱性放置について両社に調査をしたところ、VPN装置の脆弱性については両社とも認識していたものの、両社とも担当外であるとの認識で病院に通知は行っていなかった。OSのバージョン放置やセキュリティ機能の不稼働に関しては、C社はOSのアップデートについて検証し、病院側に案内していた、セキュリティ機能の不稼働(具体的にはファイアウォール)は、稼働させた場合の不具合報告はない、と有識者会議には回答したが、実際にはどちらも稼働させないようA社に指示していた。
報告書はこうした2社の姿勢に対し、確かに現在の「医療情報システムの安全管理に関するガイドライン 第 5.2 版」にのっとれば、保守契約がなければ定義上は責任はないといえるが、事業者及びベンダーは医療情報を扱う当事者でなくとも、善管注意義務は十分にあったと考えるのが妥当だとし批判した。さらに「VPN 装置の脆弱性および ID 情報の公開の事実があったにも関わらず適切な対処を講じなかったため今回の事件を発生させた」「閉域網であることを理由に極めて初歩的なセキュリティ対策を継続的に怠った」と指摘し、両社の責任は重いと断罪している。
システム運用に関わる構造的かつ普遍的な課題を指摘
報告書は事案が発生した背景として、半田病院が経営的にICTに関するリソースを恒常的に確保できない状況にあることも指摘した。具体的には総務省報告の「公立病院の現状について」にあるように、公立病院の経営状況は惨憺たる状況であり、一般的にICT部門がなく「少しパソコンに詳しい庶務係が担当を一人で兼任しているような状況」であるとした。システムの安全管理を実現するリソースを割く余裕がないうえに、保守運用契約を締結する予算も捻出できないため、必要がありながらセキュリティ対策について医療システム事業者やサポートベンダーに依頼することもできないというわけだ。この場合ガイドラインでは保守運用の責任は第一義的には病院にあるが、このように満足にリソースが確保できない状況が固定化していることから、病院側が運用面の実務責任を負うのは現実的でないという提言だろう。
そして現状のガイドラインも、複数のガイドラインが存在すること、抽象度が高いこと、ISMSなどを前提としているために要求ハードルが高く、ガイドラインそのものにも課題があると指摘。リソースの乏しい病院も対応できるような、具体的な対策を丁寧にまとめた具体的なガイドラインへの変更や作成が求められるとしている。