【サイバーテロ】大阪急性期・総合医療センターが狙われて患者に影響が

サイバー犯罪

弱い、弱すぎる。しかし、これが多分日本の一般的な病院のレベルであり、一般企業の多くもこのレベルのセキュリティなのだろうね。

サイバー攻撃で診療行えず、手術も停止 大阪急性期・総合医療センター

2022/10/31 23:23

大阪急性期・総合医療センター(大阪市住吉区)は31日、電子カルテのシステム障害が発生し、診療を停止したと発表した。サイバー攻撃が原因とみられる。紙のカルテで入院患者に対応しているが、過去の記録がないため緊急時を除き手術も停止した。患者約600~千人に影響があったとみられ、復旧の見通しは立っていない。

「産経新聞」より

どうやら、大阪急性期・総合医療センターが被害にあったのは、ランサムウェア攻撃に起因している話のようだが、何故、電子カルテシステムがやられてしまったのか。

治療行為を人質にとる卑劣な犯罪ではあるが、サイバー攻撃は往々にしてそういうところを狙ってくるのである。実際にこの手の犯罪は増えているようだ。

スポンサーリンク
同カテゴリーの人気記事

この記事は「惣郷木霊の四方山話」でお送りしております。

<同カテゴリーの人気記事>

スポンサーリンク

カルテを人質に

電子カルテシステムはNECの担当

さて、電子カルテシステムの話が出たので、じゃあ誰がこれを担当していたのか?ということを調べて見た。

http://www.gh.opho.jp/pdf/kouhyoan2204.pdf

どうやら、NECのシステムを使っている模様。おそらくMegaOakシリーズだね。

情報企画室の説明では、31日午前6時38分、システムの一部に不審な動きがあり、午前7時3分に事務部門から情報企画室に一報が入った。午前8時頃にシステム業者に連絡、午前8時半頃に業者が来院して侵入経路や影響範囲などの調査を開始、調査は午後8時現在も続いている。午前9時頃の時点でランサムウエアではないかと判断して電子カルテシステムの利用を停止、外来診療や救急の受け入れなども中止した。電子カルテ以外の院内ネットワークは、電子カルテとは完全に別のもので、異常は起こっていないという。

「m3.com」より

わざわざ院内に別ネットワークを組んであったのに、どういう訳か電子カルテシステムにスパイウエァにやられてしまったらしい。

身代金要求型のウイルスがどうやって仕込まれたかが気になるところだが、恐らく、この電子カルテシステムのクライアントPCに、メールが受け取れる様にブラウザを入れ、インターネットに接続していたということが状況から推測される。

規模の大きな病院であれば、VPNを仕込んで外部からカルテを参照できるようにするくらいのことはやっている。だが、そこの脆弱性をつかれると堅牢な防御システムを構築したつもりが、あっけなく破られる。

全てのファイルは暗号化されました。全てのファイルはあなたのパソコンのセキュリティーの問題により暗号化されました。復元したければ、我々にメールを送ってください。〔メールアドレス〕。メールのタイトルにはIDを記してください。〔ID〕。24時間以内にこちらから返信がなければ、このメールアドレスに送ってください。〔メールアドレス〕。復元のためにはビットコインで支払ってください。金額はあなたがどれだけ早く我々にメールを送るかによって変わります。支払い後、全てのファイルを復元するためのツールを送ります。(英語のメッセージをセンターが翻訳した内容)

「m3.com」より

外部と接続されていない電子カルテシステムであれば、外からウイルスを持ち込むにはUSB等の記録媒体を持ち込まねばならないハズだが、恐らくは今回はそういう話ではない。

現時点ではNECに責任があるかは分からない。が、意外とお医者さんはITに弱い方が多いから、こうした事態が発生した場合に全て外注という事になるんだろうね。

専門の業者に依頼

当然、事態を収拾するのに医師が出てくるワケでは無い。

現在、専門の業者に依頼して、サイバー攻撃の侵入経路や被害を受けた範囲の特定などを急いでいますが、復旧のめどは立っておらず、当面、通常の診療ができない見通しだということです。

「NHKニュース」より

専門業者に解決を依託するしかなく、メーカーに依頼したと思われるので、NECに泣きついたということなのだと思う。

だが、現状で侵入経路が分かっていないと言うところが、なかなかヤバい。

ランサムウエアの被害にあった企業の対応支援などを行っているS&Jの三輪信雄社長は「ランサムウエアによる事件は相次いでいるが、今回は救急に関わる病院だったことや大都市で起きたことで影響が非常に大きかったと考えられます。侵入経路などは報道に出ている情報だけではよく分かりませんが、外部から組織内のサーバーにアクセスするVPNと呼ばれる接続機器が狙われるケースが多いため、今回も同じような経緯ではないかと推測しています」と指摘しています。

「NHKニュース」より

VPNを使った侵入経路か。

割と多いらしいんだよね、この手口は。

VPNから侵入されたケース

実際に、VPNから侵入されて電子カルテが狙われた事案は最近あった。

サイバー攻撃で電子カルテが停止 VPN経由でランサムウエアに感染か

2022.04.26

徳島県のつるぎ町立半田病院は2021年10月、サイバー攻撃の被害に見舞われた。電子カルテシステムで患者情報を閲覧できなくなり、診療報酬の請求も止まった。原因は確定していないが、VPN装置から侵入された可能性が高い。VPN装置の脆弱性に気づかず、ベンダーからも通知を受けていなかった。管理責任の所在やバックアップ体制など複数の課題が浮き彫りとなった。

「日経XTECH」より

手口から見て全く同じ様に見えるのだが、忙しい病院経営者にこの情報は共有されなかったらしい。

しかし、こうした手口は他でも珍しくないらしい。

狙われる医療機関 サイバー攻撃対策「電子カルテの独立保管」最適解とは

2022.07.08 公開

近年、医療機関を狙ったマルウェアの一種「ランサムウェア(=身代金要求型サイバー犯罪)」によるサイバー攻撃の被害が相次いでいます。 実際に被害を受けた病院では新規患者の受け入れや診療の一部を停止せざるを得なかったという例も発生しています。 こうした問題を受け厚生労働省は、情報セキュリティの観点から医療機関等が遵守すべき事項等の規定を設けるなど所要の改定を行い、 「医療情報システムの安全管理に関するガイドライン 第5.2版」を策定しました。

「RDX SHOP」より

で、データのバックアップはネットワークから切り離しなさいと言うガイドラインが出されるに至る。今回のケースでは、データのバックアップはとってあるようだが、果たしてそれがネットワークから切り離された状態であるかは不明だ。

恐らくNECの推奨システムが入っているのであれば、バックアップは別系統で保存されているハズ。そうすると、システムの総入れ替えとバックアップデータの反映、そして、欠損データの補完を行う事で、今回の事態は収拾するハズなんだけど、そう簡単には行かないのかも知れない。

サイバー犯罪は増える

とまあ、ちょっと大きなケースを扱ったわけなんだけど、詐欺も含めてこの手のサイバー犯罪は増える傾向にある。

サイバー犯罪めぐる相談件数 3300件余 過去最多ペース

11月01日 18時23分

ことしに入って9月末までに、警察に寄せられたサイバー犯罪をめぐる相談件数は県内で3300件余りで、過去最多になった去年(令和3年)を上回るペースになっていることがわかりました。

「NHKニュース」より

何しろ、顔の見えない相手をだますのだから罪悪感は少なくて済むし、ネット環境があれば成り立つ犯罪も多くてお手軽だ。

案外、知能さえ高ければ準備するものが少なくて済むというハードルの低さが、そうした傾向を助長しているのかもしれない。

病院の電子カルテを狙うほど大規模な話ではなく、電子商取引で誤魔化したり、陥れたりということは、比較的身近な話になってきている。

そして、こうした犯罪から実を守るためには「知る」しかないのである。注意深く情報を集め、「なにかおかしい」と思ったら疑ってみる。

これはサイバーテロを未然に防ぐためにも必要なことで、安全のためにお金をかけ、常に情報収集をしてまずはリスクを知ることが大切である。

今回のケースはそうかは分からないが、案外、不用意に「これくらいなら良いか」という発想で疎かにした部分を狙われる事が多い。本件も、しっかりとその辺りの調査までして、周知徹底して欲しいところ。費用対効果がはっきりとわかりにくい分野だけに、ここにお金を投資するのは案外難しいのだけれど。

あとは、サイバーテロに分類されるような、多くの人々の生死に関わるような分野のセキュリティというのは、今一度見直されるべき時期にあるのではないか。アメリカのパイプラインの事件は、皆さんの記憶に新しいと思う。

ああいったインフラへのサイバーテロによって、社会機能が麻痺するような案件はこれからも増えていくだろう。犯罪が発生した時にそれを追跡できるようなシステムの構築が求められるところだが、サイバー空間における犯罪立証や犯人追跡というのはかなり難しいのが現状である。この辺り、人材確保を含めてしっかりした規模の組織を必要とするのだが、日本はまだまだ遅れている感は否めない。

自衛隊にもサイバー部隊は必要だし、警察にもサイバー部隊が必要で、取り敢えずは最初の一歩は踏み出した感じなのだけれど、両組織の連携も含めてまだまだ不十分で、何より法整備が追いついていないこともネックとなっている。政治家に頑張って貰うべき分野なのだが、その政治家がITに疎い。教育の遅れというのは、社会インフラを整えるためにも大きな影響を与えるので、そういった面を含めて政治が対応出来るところはして欲しいものである。

追記

続報があったので追記しておきたい。

サイバー攻撃受けた大阪市の病院 給食業者からウイルス侵入か

2022年11月7日 20時40分

「ランサムウエア」と呼ばれる身代金要求型のウイルスによるサイバー攻撃を受け、診療に大きな影響が出ている大阪市の「大阪急性期・総合医療センター」は、患者の給食を納入している事業者からウイルスが侵入した可能性が高いことを明らかにしました。

~~略~~

この事業者のデータセンターのセキュリティーは古いバージョンのままだったということで、病院ではこの事業者のシステムからウイルスが侵入した可能性が高いとしています。

「NHKニュース」より

なんと、セキュリティの穴は給食を納入している業者だったという。

ちょっと意味が分からないのだが、給食業者のデータセンターのセキュリティは古いバージョンだったから、ウイルスの踏み台にされたのは分かる。でも、たまたまここのデータセンターが踏み台にされただけで、結局のところ病院のシステムが脆弱だったことに変わりはないのでは?

誰か解説していないのかな?

センターと接続する給食委託業者のサーバに不審なデータ通信が大量に確認され、業者のサーバもランサムウエアに感染していた。業者のサーバを通じてシステムに侵入された可能性が高いとみている。

この業者は21年10月にサイバー攻撃を受けた徳島県つるぎ町の町立半田病院と同じ会社のVPNを利用していた。ソフトウエアが旧式だったことから脆弱性を突かれ、ウイルスの侵入を許したとみられる。「フォボス」と呼ばれるグループの攻撃とみられ、影響を受けた端末は約1300台に上るとした。

「ITメディア」より

うーん。

コメント

  1. こんにちは。

    無辜の市民を人質に取るタイプのサイバーテロは、物理的な無差別テロと同様、全くもって唾棄すべき犯罪行為だと断言します。

    その上で、悪意をもったテロ行為を、完全に防ぐことは事実上不可能なので、二重三重のの防衛策とバックアップ態勢を整えるしかない、と言うのが歯痒いですね……

    ※カツカツで運用されている病院設備にとって、緊急時を想定したOA系システムのバックアップ設備など夢のまた夢、その為のSEその他に裂くコストなど、逆さに振っても鼻血も出ないでしょう……

    • 人命を人質に取るやり方は卑劣ですよね。
      今回のケースでもセキュリティに穴があったことは確実なのでしょうが、堅牢なシステムを組むというのも病院として正しいあり方なのか。
      もうちょっと大きな組織を作って、カルテの管理を一手に引き受ける感じには出来ないものでしょうか。
      クラウド的なやり方で、大都市を中心にしたシステム構築ができれば良さそうなんですが。
      病院ごとに管理と言うのは限界がある気がしますよ。

  2. ランサムウェアに罹って、秘密裏に解決しているケースは、世界中にはいくらでもありそうです。

    政府機関や空港、発電・送電所、病院など、活動を止められない公的組織は、スタンドアローンの内部用サーバーと、ネット接続可能な外部用サーバーを、面倒ですが、併用しないといけませんね。

    これは、政府が対策費とシステム構築を支援しないと、どうにもならない話と思います。

    余計なことかもしれませんが、TiktokとかLINEとかは使用禁止に。常にデータを吸い上げられているようなものです。

    • 公的組織専用回線を作って、組織的に保護……。
      いやー、そう簡単には行きませんか。
      住基ネットは確か専用回線を使っていたはずですが、利便性の面を考えると微妙な感じがするんですよね。ああいうのを増やしても、上手いこと行くとは限りませんし。

      • けんさん 木霊さん みなさん こんばんは

        >TiktokとかLINEとかは使用禁止に

        代替手段が必要なのですよねぇ。これの構築は、今の日本の民間ITは既に大陸・半島の汚染が酷いので無理です。

        IPA,NISC等の日本の公的機関はセキュリティーレベルは結構高く、こちらで人材集めて代替ソフト作るべき
        (残念ながら現状権力低いです)なのでデジタル庁とか防衛庁案件にして、、、と個人的には思いますし

        木霊さんは役人アレルギー?で否定されますが、「日本の」セキュリティーを考えるなら、国籍条項の適用が許される「公務員」に頼るしかないのが現状思いますよ?
         民間は国籍による労働者区別を禁止されている。スパイ防止法もなく、、、のが現状ですからね。

  3.  なぜ、物理的にインターネットに接続できない構造にしないのか、ハッキングされて困るデータ・社内ネットワークを。
     
     文系の昔話 イントラネットどころかインターネットという言葉が珍しかった時代だった気がするが
     工業高専がハッカーにやられパソコンが起動しなくなった、中華人民共和国のハッカー…、中華人民共和国の文字が…、パソコン全部フォーマットして直したが、また、攻撃され云々と聞こえてきたので
    『ウイルス駆使ソフトを使えば?』
    と言うが無視された。何度もしつこく言ったから
    『ハッカーは、ウイルスとは違う』
    『ウイルス対策してもどうにもならない』
    『ハッカーに狙われたらどうしようもない』
    と言われて驚いた。

     この程度の自分が言うのもなんですが、今もこんなレベルなんじゃないですか、ハッカーにやられ放題な世の中は。

     中華人民共和国は、昔から他国をもハッキングしてきたハッカー先進国!
     ハッキングも専守防衛じゃやられ放題、こちらからもハッキングしなければ…というのは別の話ですね。

     ハッキングをなにもかも法律で禁止した日本に、ハッキング国は大喜びでしょうね!
     馬の鹿だよねぇ~