徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 116
ストーリー by nagazou
防御力ゼロ 部門より
防御力ゼロ 部門より
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース、有識者会議調査報告書[PDF]、日経クロステック)。
過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。
あるAnonymous Coward 曰く、
過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。
あるAnonymous Coward 曰く、
「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」
主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。
まず思った事 (スコア:3, 興味深い)
IT関係に人や金や手間をかけてない病院が有った場合、その病院が人や金や手間をかけてないのは、ホンマにIT関係だけなのか?
Fortinet使ってるのに予算がありませんって。。。 (スコア:2)
お花は枯れるんです。枯らさないでおこうと思ったら、お金を使って
維持しないと。
ベンダーにタダでやれって、だったら外来治療なんかもタダでやりましょうよ。
ついでに入院もタダにしちゃえ。
常識があるならきちんと予算を取って、しっかりメンテナンスしましょう。
Re:Fortinet使ってるのに予算がありませんって。。。 (スコア:2, すばらしい洞察)
「タダはおかしいでしょ。初診料は払わないと…でも継続治療はタダでいいよね!同じ治療だから!」
くらいの感覚よねこれ
Re: (スコア:0)
やりがいがあって実績も積めるんだから絶好の機会じゃないか。
……変だな、誰も来ないぞ?
保守契約って概念がそもそもない? (スコア:2, すばらしい洞察)
> 常識があるならきちんと予算を取って、しっかりメンテナンスしましょう
その通りなんだけど……
報告書を作った有識者会議でも「ベンダーが注意喚起しないのが悪い」的な記述(「4.1.6 事業者及びベンダーの善管注意義務」)があるのをみると、少なくとも徳島県界隈では、保守契約を結ばないのは「常識」なんじゃない?
皆かれてるほうがいいって言ってた (スコア:0)
たいおー
一番の問題は...... (スコア:2, すばらしい洞察)
「いろいろな面で非常に問題のある」状態なのに全く反省が無いことでしょう。
報告書曰く
・病院のIT担当者はたった一人で頑張っていた。
・ITベンダはプロなのに、情報提供を含め何も支援してくれなかった。
・ITベンダの罪は重い、ただし保守契約は予算が無いからしてなかったよーん!
全部の罪をITベンダになすりつけて逃げ切りを図っています。
副町長が有識者会議に入っている点でお察し。有識者ってのはお金を出して買収する人ではないんだけどな〜。
この町のITに関わるのは止めたほうがよいですな。こんなところは京の政令指定都市みたいにまたやらかすでしょうね。
名指しされたベンダさんは本当にお疲れ様です。早く完全撤退できますように。。。
Re: (スコア:0)
報告書のベンダ批判に一部共感的な意見もネット上では上がってるけど
このタダ働きみたいな条件できちんと稼働させた業者という点を勘案すると
価格相応のベンダが来てコスパの良い仕事をしたような気もする
Re: (スコア:0)
導入後の継続的なサポート契約って概念が、ベンダも病院もなさそうな記載が散見されるね。
あと気になったのは、どうも電子カルテシステムがWindows7&IEでしか動かないっぽいことが書いてある。
WindowsUpdateしてなかったのもこれが理由だろうし、この分じゃ電子カルテ使っているところは、次々と同じような被害にあうのでは……?
Re: (スコア:0)
PDF見たら
2000年頃に構築されたSilverlightやActiveX前提の電子カルテシステム、だそうで。
近寄りたくないですな。
Re: (スコア:0)
当時は最先端の電子カルテシステム!みたいな感じでイケてたんだろうなぁw
Re: (スコア:0)
一瞬考えたのが組み込み向けWindows入れたけど保守契約してなかったなんだよなぁ・・・
ひどいとしかいいようがない (スコア:2, 参考になる)
PDFが色々と酷い
フォレンジックを請け負った事業者がインシデント対応で調査を行うのに不誠実だったって言いたいの?
フォレンジックを請け負った事業者が復元を担当していたり「できたと考えられる」っていっていて
考えられるけどやらなかったのか考えられたからやったの?やったんだったらそれフォレンジックじゃなくね?
病院は正しい!って上げている
まぁこれはしょうがないよね
方針を決定するのは病院側だろ?それが方針を決めないでちぐはぐなこと言えばちぐはぐな対応になるだろ。
そりゃそうだ
なんで事業者が認識するの?仕事なんだから金を払うかどうか、方針をどう決めるか、どう動くかでしょ?
急ぎでやって欲しいならいくらで人を持ってきて貰うのか?って決めるの病院の仕事でしょ?
契約をしようとしたのかどうかが書かれていなくってわからん。
契約してないなら要請に応える理由ないでしょ?だって、それらの事業者は他に事業をやっていてそっちでお金貰ってるんだから。
どうして病院のために手弁当で対応すべきってよめることいってるの?
後は他でも言われてるように、一人しか担当者がいなかったのとかありえないし
セキュリティ情報の収集をすべきなのは事業を行ってる側だし、保守契約もしてないのにやってくれないのおかしい!ってギャグかよ
ただまぁ、保険診療でやってるのでそういったシステム対応費がっていうのもわからなくはない
それはそれとしてうちは悪くない!に終始しているからだめ
医者のくせにワクチンの重要性も分からんとは (スコア:1)
予防にコスト掛けた方が何倍も金を節約できると患者には言うくせに、「医者の不養生」とはこのこと。
Re: (スコア:0)
医者の本音も分からんとは (スコア:0)
患者全員が予防なんてしたらおまんま食い上げじゃねーか
技術報告書には興味ないの?... (´・ω・`) (スコア:1)
コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー(PDF) [handa-hospital.jp]
そりゃ非技術者用のトンデモ報告書のほうがみんな気持ちよく叩けてコメント稼げるのはわかるけどさ。
技術編のほうは極めてまともなので必読です。
うやむやにもみ消さずに両方の報告書を公開してくれたのは非常に有意義だと思いますね。
技術的知見も得られ、かつみずぽや半田病院みたいになりますよと交渉もしやすくなる。
3億の損害だったらしいけど、このおかげで将来の300億を守れるのでは。
脆弱性だけじゃなく (スコア:1)
それこそ VPN で、保守用のポートを一つ用意して、そこに繋いだ PC 以外からはアクセスできないようにするくらいしろと
何も証明書入れてガードしろとまでは(コストの観点で)言わんが。
-- To be sincere...
正直 (スコア:0)
どこの病院も実態は似たりよったりな気がしますが、公立の病院なら市町村もしくは都道府県でカバーしないとセキュリティ対応とかできないんじゃないかと思う。
Re:正直 (スコア:1)
調布市「せやな」
Re: (スコア:0)
どこの病院も実態は似たりよったりな気がしますが、公立の病院なら市町村もしくは都道府県でカバーしないとセキュリティ対応とかできないんじゃないかと思う。
噂のデジタル庁はなにもしない or できないんだろうか
Re:正直 (スコア:2, 興味深い)
噂のデジタル庁はなにもしない or できないんだろうか
この話って本質的には「金がない組織でもIT運用をせざるを得ない」が原因だからねぇ。
金をばら撒く予算がなけりゃ、対応は無理っしょ。
付け焼き刃のリテラシー教育でどうにかなる話じゃない。
Re: (スコア:0)
「この規模のシステムにエンジニアが一人なんて!」みたいな意見がいっぱい出てたが、
こんな規模の病院にいちいち2、3人エンジニア張りつけていったら、
そりゃITエンジニアが何万人足りないみたいな話にはなるよなぁ
どうすんのがいいんだろな
Re: (スコア:0)
そんなの、厚生省なり医療団体なりが一括でパッケージやクラウドシステムを構築して各医院はそれを導入するとかだろ。
まあ公的機関がやらないなら、どっかのベンダーが同じようにパッケージやクラウドシステムを構築して各医院に売り込みに行くだろうけど。
自前でシステムを構築する規模じゃないとこが、自前でシステムを構築しているのがそもそもおかしい。
そりゃ回らんだろうさ。
Re: (スコア:0)
ええと、じゃあその統一パッケージさえ入れちゃえば運用段階はエンジニアいらないの?
そんなことないでしょ。
それってハコモノだけ作って置いとくって発想と一緒で、むしろ導入の手間が減るだけじゃないの。
よくあるのは、統一基盤ならどこでもやってるしかんたんで運用段階も省力化…とかいうふうに見えるかもしれないけど、現場に合わせて作り込まないデメリットで使いにくくて運用でカバー(=運用の手間が増大)みたいなケースも多いよ。
Re: (スコア:0)
> 現場に合わせて作り込まないデメリットで使いにくくて運用でカバー
SPAを自社に合わせてカスタマイズする人たちがよく言う奴ですね。
サービスを現場に合わせるんじゃなくて、現場をサービスに合わせるんですよ。
金が無いならなおさらです。
運用段階のエンジニアはいらないのか?エンジニア雇えない人の話をしているんですよ。
金を出せないんだから、エンジニアが要らないようなお仕着せのパッケージやクラウドをそのまま使うしかないんです。
現場のサービスを変えたくないなら金を出せ。エンジニアが居るなら金を出せ。話はそれからです。
Re: (スコア:0)
現場を変えるのにだって金が要りますよ?
それとも現場のヒト達が学習のために働くコストはタダというお考え?
Re: (スコア:0)
コストカットのコストが払えないなら働かなくていいんじゃないですかね
資本主義社会における仕事とは言えないんで
Re: (スコア:0)
運用段階では統一パッケージ運営会社のコルセンがエンジニア相当
エアコンとかエレベーターだってメーカースタッフが常駐しないでしょ
そういう意味では「コンプレッサー主任設計技師」レベルの人が運用現場で折り紙してるITは特殊
Re: (スコア:0)
「この規模のシステムにエンジニアが一人なんて!」みたいな意見がいっぱい出てたが、
こんな規模の病院にいちいち2、3人エンジニア張りつけていったら、
そりゃITエンジニアが何万人足りないみたいな話にはなるよなぁ
どうすんのがいいんだろな
外注
アウトソーシング
サポート契約
Re: Re:正直 (スコア:1)
× ITエンジニアが何万人足りないみたいな話
○ 年収400万円以下で働いてくれるITエンジニアが足らない
Re: (スコア:0)
◎ 年収400万円以下で働いてくれるITエンジニアが気違いしかいない
Re: (スコア:0)
地方創生っていう観点からも都道府県単位ぐらいで公的な機関のITインフラの面倒を見る組織を立ち上げるしかないんじゃないですか。
すべてを外部委託すると首都圏の業者が強くなるのはわかりきってるので。
Re: (スコア:0)
セキュリティ対応できるエンジニアに払うおちんぎんはないが、医者にはごっついおちんぎんを払うという風潮。
Re:正直 (スコア:1)
えっ
Re: (スコア:0)
医者はどこでも時給換算したら最賃以下って有名な話だぞ
ただし医療の知識を活用して1日25時間まで働けるってだけ
Re:正直 (スコア:2)
医者になるには時空を曲げるスキルも必要なのか…そりゃ難関と言われるわけだ
過信とかどうこう言う以前に (スコア:0)
VPNという概念が全否定される事件だよな。
完全に物理的に閉じたネットワークにするか、侵入はされるものという前提でセキュリティ設計するかなさそうだ。
Re:過信とかどうこう言う以前に (スコア:1)
そんなの当たり前でしょ。
実際この病院もセキュリティ対策ソフトを導入はしているわけで、その認識が全くなかったわけではない。
もっと単純なケースでは、pcにマルウェア入りusbメモリを挿すことでも感染するわけで。
Re:過信とかどうこう言う以前に (スコア:1)
脆弱性がある機器を1年放置してたのが問題なのでは?
Re: (スコア:0)
Virtual Private Network は安全なクリーンルームではありません。
一体いつからそんな風に錯覚していたんだ?
Re: (スコア:0)
えー
じゃVPNって何の意味があるの?
Re: (スコア:0)
危険なクリーンルームなのです。
Re:過信とかどうこう言う以前に (スコア:1)
太字で書かれた文章は太字で書くほどの価値はない
というネット考古学の法則はまた一つ証拠を積み上げたな
ここの閉域網って (スコア:0)
ルータ(自前でメンテする必要がある?)の脆弱性突かれたらしいけど、広域イーサネット使ったVPNのことなん?
Re:ここの閉域網って (スコア:2, 興味深い)
報告書 [handa-hospital.jp]の 33 ページ(ページ番号30)に CVE-2018-13379とある。
CVE-2018-13379 [jpcert.or.jp]より
※ SSL VPN サービスが有効な場合のみ影響を受けます (web-mode と tunnel-mode の両方とも対象)
本脆弱性は、2019年5月に公開されたもので、既に脆弱性を修正したバージョンが公開されています。また、回避策として SSL VPN サービスの無効化、脆弱性を悪用した攻撃の影響を緩和する方法として、SSL VPN ユーザーへの二要素認証の実装が推奨されています。
Re:ここの閉域網って (スコア:1)
病院で言うところの閉域網って単なる分離された業務系LANネットワークを指すよ。普通は病院から(特定・不特定問わず)外に向かう回線はもとより病院内でも情報系と業務系は完全に分けて、相互で繋がない。情報系は拠点間VPN等で繋ぐこともあるけど業務系を繋いだ時点で閉域網ではない。
ただ、それだと外部からの医療情報提供やソフトウェアアップデートが取得できないので、フェデレーション端末(orネットワーク、これも厳密やるところはローカルストレージ経由でデータを業務系ネットワークに移す運用をしている)が存在するんだけど、
今回の報告書に記載されているネットワーク構成らしき図を見る限りでは「そもそも閉域網が存在していない」ので、報告書で言うところの神話もくそもない状態である。
Re:ここの閉域網って (スコア:1)
うちはIP-VPN(Master's One)使ってるので全部おまかせなんだよね。広域へのゲートウェイも局側にある。
実はVPNルータの設定ぐらいおれにもできらぁ!って
1/10ぐらいの費用でできる広域イーサネット使ったVPNを提案したけど却下されて、
アホ上司が!ってもにょってたが、正解だったかもしれんなw
多層防御 (スコア:0)
Re: (スコア:0)
現場レベルで多層防御を主張しても第8層や第9層のモンスターには効果がありませんorz