パスワードを忘れた? アカウント作成
15706157 story
お金

徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 116

ストーリー by nagazou
防御力ゼロ 部門より
徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという(つるぎ町立半田病院リリース有識者会議調査報告書[PDF]日経クロステック)。

過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。

あるAnonymous Coward 曰く、

「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」

主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

  • by Takahiro_Chou (21972) on 2022年06月21日 17時35分 (#4273540) 日記

    IT関係に人や金や手間をかけてない病院が有った場合、その病院が人や金や手間をかけてないのは、ホンマにIT関係だけなのか?

    ここに返信
  • 典型的な装置(H/W)を入れたら完成みたいな、お花畑ですかこれは?
    お花は枯れるんです。枯らさないでおこうと思ったら、お金を使って
    維持しないと。

    ベンダーにタダでやれって、だったら外来治療なんかもタダでやりましょうよ。
    ついでに入院もタダにしちゃえ。

    常識があるならきちんと予算を取って、しっかりメンテナンスしましょう。
    ここに返信
  • 一番の問題は...... (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2022年06月21日 16時46分 (#4273490)

    「いろいろな面で非常に問題のある」状態なのに全く反省が無いことでしょう。
    報告書曰く
    ・病院のIT担当者はたった一人で頑張っていた。
    ・ITベンダはプロなのに、情報提供を含め何も支援してくれなかった。
    ・ITベンダの罪は重い、ただし保守契約は予算が無いからしてなかったよーん!

    全部の罪をITベンダになすりつけて逃げ切りを図っています。
    副町長が有識者会議に入っている点でお察し。有識者ってのはお金を出して買収する人ではないんだけどな〜。
    この町のITに関わるのは止めたほうがよいですな。こんなところは京の政令指定都市みたいにまたやらかすでしょうね。
    名指しされたベンダさんは本当にお疲れ様です。早く完全撤退できますように。。。

    ここに返信
    • by Anonymous Coward

      報告書のベンダ批判に一部共感的な意見もネット上では上がってるけど
      このタダ働きみたいな条件できちんと稼働させた業者という点を勘案すると
      価格相応のベンダが来てコスパの良い仕事をしたような気もする

    • by Anonymous Coward

      導入後の継続的なサポート契約って概念が、ベンダも病院もなさそうな記載が散見されるね。

      あと気になったのは、どうも電子カルテシステムがWindows7&IEでしか動かないっぽいことが書いてある。
      WindowsUpdateしてなかったのもこれが理由だろうし、この分じゃ電子カルテ使っているところは、次々と同じような被害にあうのでは……?

      • by Anonymous Coward

        PDF見たら
        2000年頃に構築されたSilverlightやActiveX前提の電子カルテシステム、だそうで。
        近寄りたくないですな。

        • by Anonymous Coward

          当時は最先端の電子カルテシステム!みたいな感じでイケてたんだろうなぁw

      • by Anonymous Coward

        一瞬考えたのが組み込み向けWindows入れたけど保守契約してなかったなんだよなぁ・・・

  • by Anonymous Coward on 2022年06月21日 17時24分 (#4273532)

    PDFが色々と酷い

    しかしながら、電子カルテを導入・保守している事業者や、関連のシステムやセキュリティ製品を導入・保守している事業者、フォレンジックを請け負った事業者も、インシデント対応に秀でているわけではないため、
    事業者側の対応に対する不誠実さが生じていたのも事実である。

    フォレンジックを請け負った事業者がインシデント対応で調査を行うのに不誠実だったって言いたいの?

    フォレンジックを請け負った事業者が、(データを確認できる範囲で)元の通り復元をすることが
    できたと考えられる。その後、端末の初期化対応を行い、端末を再利用したり、システムやネットワークを
    最低限見直したりした上で、令和 4 年 1 月 4 日の通常診療の再開にこぎつけることができた。

    フォレンジックを請け負った事業者が復元を担当していたり「できたと考えられる」っていっていて
    考えられるけどやらなかったのか考えられたからやったの?やったんだったらそれフォレンジックじゃなくね?

    病院として迅速に災害認定を行い、BCP に基づく行動ができたことは、インシデント病院機能の維持に向けた活動が行えている。

    病院は正しい!って上げている

    しかし、サイバーセキュリティに対する知識や経験不足から、初動対応に戸惑いや遅れが生じていることは否定できない。

    まぁこれはしょうがないよね

    また関係するいずれの事業者もサイバーセキュリティに関する知識や経験も浅く、封じ込めや復旧対応など、ちぐはぐな対応が行われていた。

    方針を決定するのは病院側だろ?それが方針を決めないでちぐはぐなこと言えばちぐはぐな対応になるだろ。

    しかし、半田病院はインシデント対応に不慣れな中も、記者会見や取材依頼にも誠実に対応し、地域医療の維持、そしてなにより患者を守るための活動に終始務めていた。

    そりゃそうだ

    その危機感が各事業者もより認識し、対応や連携が行われていれば、約 2 か月強の時間をかけずとも対応できたと考える。

    なんで事業者が認識するの?仕事なんだから金を払うかどうか、方針をどう決めるか、どう動くかでしょ?
    急ぎでやって欲しいならいくらで人を持ってきて貰うのか?って決めるの病院の仕事でしょ?

    またインシデント対応を行う専門家が不在であったため、終始インシデント対応に苦慮している。半田病院のエンジニア派遣要請に
    各事業者が応じ、現地で対応を協力していればインシデント対応はより迅速に行われたものと考える。

    契約をしようとしたのかどうかが書かれていなくってわからん。
    契約してないなら要請に応える理由ないでしょ?だって、それらの事業者は他に事業をやっていてそっちでお金貰ってるんだから。
    どうして病院のために手弁当で対応すべきってよめることいってるの?

    後は他でも言われてるように、一人しか担当者がいなかったのとかありえないし
    セキュリティ情報の収集をすべきなのは事業を行ってる側だし、保守契約もしてないのにやってくれないのおかしい!ってギャグかよ
    ただまぁ、保険診療でやってるのでそういったシステム対応費がっていうのもわからなくはない
    それはそれとしてうちは悪くない!に終始しているからだめ

    ここに返信
  • by Anonymous Coward on 2022年06月21日 16時42分 (#4273486)

    予防にコスト掛けた方が何倍も金を節約できると患者には言うくせに、「医者の不養生」とはこのこと。

    ここに返信
  • by Anonymous Coward on 2022年06月21日 20時39分 (#4273799)

    コンピュータウイルス感染事案有識者会議調査報告書ー技術編ー(PDF) [handa-hospital.jp]
     
    そりゃ非技術者用のトンデモ報告書のほうがみんな気持ちよく叩けてコメント稼げるのはわかるけどさ。
    技術編のほうは極めてまともなので必読です。
     
    うやむやにもみ消さずに両方の報告書を公開してくれたのは非常に有意義だと思いますね。
    技術的知見も得られ、かつみずぽや半田病院みたいになりますよと交渉もしやすくなる。
    3億の損害だったらしいけど、このおかげで将来の300億を守れるのでは。

    ここに返信
  • by heavensgate (21016) on 2022年06月27日 11時14分 (#4277586)
    そもそもルータの管理画面へのアクセスを WAN 側からもオーケーにしてた(というか何もガードしていない)時点でダメダメとしか。

    それこそ VPN で、保守用のポートを一つ用意して、そこに繋いだ PC 以外からはアクセスできないようにするくらいしろと
    何も証明書入れてガードしろとまでは(コストの観点で)言わんが。
    --
    -- To be sincere...
    ここに返信
  • by Anonymous Coward on 2022年06月21日 16時10分 (#4273453)

    どこの病院も実態は似たりよったりな気がしますが、公立の病院なら市町村もしくは都道府県でカバーしないとセキュリティ対応とかできないんじゃないかと思う。

    ここに返信
    • by Anonymous Coward on 2022年06月21日 16時18分 (#4273462)

      調布市「せやな」

    • by Anonymous Coward

      どこの病院も実態は似たりよったりな気がしますが、公立の病院なら市町村もしくは都道府県でカバーしないとセキュリティ対応とかできないんじゃないかと思う。

      噂のデジタル庁はなにもしない or できないんだろうか

      • Re:正直 (スコア:2, 興味深い)

        by Anonymous Coward on 2022年06月21日 18時20分 (#4273601)

        噂のデジタル庁はなにもしない or できないんだろうか

        この話って本質的には「金がない組織でもIT運用をせざるを得ない」が原因だからねぇ。

        金をばら撒く予算がなけりゃ、対応は無理っしょ。
        付け焼き刃のリテラシー教育でどうにかなる話じゃない。

    • by Anonymous Coward

      「この規模のシステムにエンジニアが一人なんて!」みたいな意見がいっぱい出てたが、
      こんな規模の病院にいちいち2、3人エンジニア張りつけていったら、
      そりゃITエンジニアが何万人足りないみたいな話にはなるよなぁ
      どうすんのがいいんだろな

      • by Anonymous Coward

        そんなの、厚生省なり医療団体なりが一括でパッケージやクラウドシステムを構築して各医院はそれを導入するとかだろ。

        まあ公的機関がやらないなら、どっかのベンダーが同じようにパッケージやクラウドシステムを構築して各医院に売り込みに行くだろうけど。

        自前でシステムを構築する規模じゃないとこが、自前でシステムを構築しているのがそもそもおかしい。
        そりゃ回らんだろうさ。

        • by Anonymous Coward

          ええと、じゃあその統一パッケージさえ入れちゃえば運用段階はエンジニアいらないの?
          そんなことないでしょ。
          それってハコモノだけ作って置いとくって発想と一緒で、むしろ導入の手間が減るだけじゃないの。

          よくあるのは、統一基盤ならどこでもやってるしかんたんで運用段階も省力化…とかいうふうに見えるかもしれないけど、現場に合わせて作り込まないデメリットで使いにくくて運用でカバー(=運用の手間が増大)みたいなケースも多いよ。

          • by Anonymous Coward

            > 現場に合わせて作り込まないデメリットで使いにくくて運用でカバー

            SPAを自社に合わせてカスタマイズする人たちがよく言う奴ですね。
            サービスを現場に合わせるんじゃなくて、現場をサービスに合わせるんですよ。
            金が無いならなおさらです。

            運用段階のエンジニアはいらないのか?エンジニア雇えない人の話をしているんですよ。
            金を出せないんだから、エンジニアが要らないようなお仕着せのパッケージやクラウドをそのまま使うしかないんです。

            現場のサービスを変えたくないなら金を出せ。エンジニアが居るなら金を出せ。話はそれからです。

            • by Anonymous Coward

              現場を変えるのにだって金が要りますよ?
              それとも現場のヒト達が学習のために働くコストはタダというお考え?

              • by Anonymous Coward

                コストカットのコストが払えないなら働かなくていいんじゃないですかね
                資本主義社会における仕事とは言えないんで

          • by Anonymous Coward

            運用段階では統一パッケージ運営会社のコルセンがエンジニア相当
            エアコンとかエレベーターだってメーカースタッフが常駐しないでしょ

            そういう意味では「コンプレッサー主任設計技師」レベルの人が運用現場で折り紙してるITは特殊

      • by Anonymous Coward

        「この規模のシステムにエンジニアが一人なんて!」みたいな意見がいっぱい出てたが、
        こんな規模の病院にいちいち2、3人エンジニア張りつけていったら、
        そりゃITエンジニアが何万人足りないみたいな話にはなるよなぁ
        どうすんのがいいんだろな

        外注
        アウトソーシング
        サポート契約

        • by Anonymous Coward on 2022年06月21日 16時38分 (#4273483)

          × ITエンジニアが何万人足りないみたいな話

          ○ 年収400万円以下で働いてくれるITエンジニアが足らない

          • by Anonymous Coward

            ◎ 年収400万円以下で働いてくれるITエンジニアが気違いしかいない

      • by Anonymous Coward

        地方創生っていう観点からも都道府県単位ぐらいで公的な機関のITインフラの面倒を見る組織を立ち上げるしかないんじゃないですか。
        すべてを外部委託すると首都圏の業者が強くなるのはわかりきってるので。

    • by Anonymous Coward

      セキュリティ対応できるエンジニアに払うおちんぎんはないが、医者にはごっついおちんぎんを払うという風潮。

  • by Anonymous Coward on 2022年06月21日 16時13分 (#4273456)

    VPNという概念が全否定される事件だよな。
    完全に物理的に閉じたネットワークにするか、侵入はされるものという前提でセキュリティ設計するかなさそうだ。

    ここに返信
  • by Anonymous Coward on 2022年06月21日 16時17分 (#4273461)

    ルータ(自前でメンテする必要がある?)の脆弱性突かれたらしいけど、広域イーサネット使ったVPNのことなん?

    ここに返信
    • by Anonymous Coward on 2022年06月21日 23時08分 (#4273939)

      報告書 [handa-hospital.jp]の 33 ページ(ページ番号30)に CVE-2018-13379とある。
      CVE-2018-13379 [jpcert.or.jp]より

      ※ SSL VPN サービスが有効な場合のみ影響を受けます (web-mode と tunnel-mode の両方とも対象)
      本脆弱性は、2019年5月に公開されたもので、既に脆弱性を修正したバージョンが公開されています。また、回避策として SSL VPN サービスの無効化、脆弱性を悪用した攻撃の影響を緩和する方法として、SSL VPN ユーザーへの二要素認証の実装が推奨されています。

    • by Anonymous Coward on 2022年06月22日 10時18分 (#4274187)

      病院で言うところの閉域網って単なる分離された業務系LANネットワークを指すよ。普通は病院から(特定・不特定問わず)外に向かう回線はもとより病院内でも情報系と業務系は完全に分けて、相互で繋がない。情報系は拠点間VPN等で繋ぐこともあるけど業務系を繋いだ時点で閉域網ではない。

      ただ、それだと外部からの医療情報提供やソフトウェアアップデートが取得できないので、フェデレーション端末(orネットワーク、これも厳密やるところはローカルストレージ経由でデータを業務系ネットワークに移す運用をしている)が存在するんだけど、
      今回の報告書に記載されているネットワーク構成らしき図を見る限りでは「そもそも閉域網が存在していない」ので、報告書で言うところの神話もくそもない状態である。

  • by Anonymous Coward on 2022年06月21日 16時34分 (#4273478)
    多層防御の考えって、未だに普及していないんだなって思う事例
    ここに返信
    • by Anonymous Coward

      現場レベルで多層防御を主張しても第8層や第9層のモンスターには効果がありませんorz

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...