パスワードを忘れた? アカウント作成
15840367 story
医療

大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 55

ストーリー by nagazou
停止 部門より
大阪・住吉区の「大阪急性期・総合医療センター」で、10月31日に電子カルテのシステム障害が発生し、診療を停止した。原因はランサムウエア。31日午前7時ごろ、電子カルテのシステムに障害が発生し閲覧などができなくなったという(大阪急性期・総合医療センターリリース[PDF]TBS NEWS DIG産経新聞NHK)。

病院のサーバーには「すべてのファイルを暗号化した。復元のためにはビットコインで支払え」などとする英文のメッセージが届いたという。同病院は31日朝から緊急以外の手術や外来診療などを停止、患者約600から1000人に影響があったとみられている。1日にリリースを出し同日の17時現在、復旧のめどが立っていないことから当面の間、休診とさせていただくとする告知をおこなっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • はできないのかな?
    CPUのレジスタ、キャッシュ、主記憶、補助記憶をプログラムとデータで完全に分離する。
    (スタックポインタも命令用とデータ用で分ける。)
    プログラムの更新は、コンピュータを止めてプログラム用の補助記憶装置を書き換えないとできないようにする。

  • by Anonymous Coward on 2022年11月02日 13時18分 (#4353859)

    想定範囲内だ!か?

    • by Anonymous Coward

      リアルでも散々いわれてるんだろうけど、
      存在そのものがウザいねお前

  • >病院のサーバーには...英文のメッセージが届いた
    とあるからサーバーをインターネットにそのまま繋いでいたのか
    こういうのってシステム構築会社の責任とか問われないのかね
    どこに穴があったかせいぜい他山の石そのものになって欲しい

    • by Anonymous Coward

      定番だとベンダ保守用にVPN装置繋いでいてその脆弱性突かれたってパターンですね。
      マイナ保険証使うと病院間で電カル接続して情報共有できるって宣伝されてますが、これも恐らくセキュリティホールとなることでしょう。

    • by Anonymous Coward

      アホか、
      定型文を見ただけでは?
      院内の端末が感染後それが出るだけの作りなら足取りは追えない。
      どこでも起こりうるよね。

      十分に容量がありシャドウコピーが使えるなら戻せたかもしれないし。
      また曜日ごとにバックアップしたものを曜日替わりで保存する構造なら復帰できただろうし
      やられる前提での対策は一番大事でしょうね。

  • by Anonymous Coward on 2022年11月02日 13時24分 (#4353867)

    1台の感染が波及するから異なる
    OSやシステムで構築することをお勧めする。

    ファイルのアクセス権一つにとっても
    1つの権限で全部横断できるようなadministrator的なものを使用不可にするだけでも効果がある。
    administratorはシステム保守以外使わないこととかね。

    • by Anonymous Coward

      異なるアーキテクチャを混在させたシステムとかメンテだるいな。

      • by Anonymous Coward

        考え方によっちゃ、アーキテクチャの数だけセキュリティホールが増えるとも言えるわけだしね。

        • by Anonymous Coward

          更にいうとデータはどれを経由してもやられるという

    • by Anonymous Coward

      内部に入られたら終わり。サーバ他の脆弱性で管理者権限が渡る。
      脆弱性検知や自動暗号化がランサムウェアセットtoolの破壊力。
      結局VPNを正規管理者でログイン出来れば突破となる。

  • by Anonymous Coward on 2022年11月02日 13時27分 (#4353870)

    オフラインバックアップしてなかったんか?って事。
    まぁ、うちの会社でもLTO5へのオフラインバックアップは週1回だけど、
    社内NASへのオンラインバックアップは毎日取ってるし、
    システムバックアップもあるから、サーバ自体がコケても復元は半日位で済む。

    毎日のデータが重要なら毎日オフラインでバックアップ取るべきだと思うなぁ...

    • by Anonymous Coward on 2022年11月02日 13時36分 (#4353876)

      穴を塞がずにデータだけ戻したところで、速攻再暗号化されるだけだと思いますが。

      親コメント
      • by Anonymous Coward

        以前から潜伏していてバックアップにも入り込んでいる可能性も考えないといかんしねえ

        • by Anonymous Coward

          標的型だと検出できてないかもしれませんしねぇ…

    • by Anonymous Coward

      ITインフラの仕事してるけどテープバックアップ案件はほとんど無くなってしまったな
      ストレージスナップショットもしくはバックアップソフト使用がほとんど
      先日客がEmotetに感染してバックアップソフト動かしているWindowsServerもやられた
      もちろんバックアップデータもすべて暗号化されたので復旧はできなかったよ

      • by Anonymous Coward

        テープバックアップ回帰は大企業中心に動いていると思うんだけど...最近の監査がらみの要件にもオフラインバックアップの実現手段として載ってきてるし。

        ストレージの機能を用いたスナップショット+非同期レプリケーション(VSS+DFSやWindows上で動くものは不可)は当たり前にやるとして、
        バックアップソフトで動かすならせめてストア先はWindowsの影響を受けないものを選ばないと意味がない。
        あとはクラウド上にオンサイトと同系統のバーチャルストレージアプライアンスを動作させるのも次善策ではある。

      • by Anonymous Coward

        EmotetでServerがやられるイメージが湧かないのだがどういう運用をしてんだろう。
        Serverでメールなんて読まないしOfficeすら入ってないな。さすがにブラウザは使うが。
        端末が感染して踏み台になったところへ外部から侵入されて、
        高度な技術を持つ侵入者が未対策の脆弱性を突いてServerに侵入みたいな?

        • by Anonymous Coward

          Emotetって要はダウンローダだから、そこからいくらでもスクリプトやプログラムを注入し放題なんですが...
          そうすれば未知/既知ともに脆弱性ツッツキ放題です。

          • by Anonymous Coward on 2022年11月02日 17時52分 (#4354112)

            ド素人の端末にスクリプトやプログラムを注入して乗っ取ったぐらいで、Serverのバックアップ処理をどうこうできる権限が簡単に取れるわけないでしょ。
            どんな運用してんのよ。納品してから1度もパッチ当ててないとか?

            親コメント
            • by Anonymous Coward

              インターネットにつながっていない(ことになっている)のに、どうやって日常的にパッチ当てるのさ?
              普通そういうシステムは閉環境であることを前提にバグ以外のパッチは当てないのがあたりまえ(ホスト運用のやり方の名残)

              • by Anonymous Coward

                このトピの総合医療センターの話なんてしてないが、#4353877が経験したのはクローズドな環境だったのか?
                だったらEmotetに感染したのも、スクリプトやプログラムを注入し放題でリモートで脆弱性ツッツキ放題な、ぜんぜんクローズドになってないのも困った運用だな。
                Emotetとは別に、FortiGateのファイアーウォールだかVPNもやられたのか?

            • by Anonymous Coward

              1台でもクライアントが感染したら、ネットワークにつながってたらサーバーなんて簡単に乗っ取れるのよ。意識変えた方がいい。
              一番簡単なのはAnyDeskとかのリモートデスクトッププログラムをサービスで立ち上がるようこっそり入れて、正規のクレデンシャルでそのあと昼休みとかにゆっくりやる。

              • by Anonymous Coward

                「昼休み程度の時間があれば、俺は勤め先のサーバーを簡単に乗っ取ってやるぜ」
                スラドはすごい人材の集まりなのか、運用がめちゃくちゃな会社が多いのか・・・

              • by Anonymous Coward

                その2択なら「運用がめちゃくちゃな会社が多い」の方なんだが、もうちょっと突っ込んだ話をするとアンチウイルスとかIPSとかって正規のプログラムにめっちゃ弱いのよ。
                正規の良く知られたプログラムを動作させて準備することで、実際の被害が出るまでリモートからの不正アクセスされてる事が分からんケースがある。
                exe単体やブラウザ経由で動くような奴だと、動作ログでも完全フリーズ環境以外じゃ時間かけないと分からん。そしてそんなことに時間/人が掛けられないケースが多い。

                あと、新興国にオフィスや工場があったりするとモラルハザード起こりやすくて、
                サポートのために常時インターネット接続型のリモートデスクトップソフトをその国の超大手ベンダーが当たり前のようにインストール指定してきたり、
                445とかの普段開けないようなポートの穴あけを要望してきたりするので、グッと危険度が上がる。

              • by Anonymous Coward

                エンドユーザー権限ではなく、「バックアップ処理をどうこうできる権限」を簡単に取ってやるというので驚いているのです。

    • by Anonymous Coward

      奈良県宇陀市立病院で2020年に発生したランサムウェア感染への提言(PDF) [uda.nara.jp]

      (調査により判明していること)
      ■感染経路の特定
      システム復旧を優先する一方、証拠保全を行わないまま医療情報システムの再セットアップが行われたことで、正確な原因究明ができない状況となりました。

      (ウイルス感染の影響)
      ウイルスの侵入経路は機器を再セットアップしたことによりログが残っていないため、個 人情報の流出があったか否かの断定が行えなかった。現在まで間いため、個 人情報の流出があっか否断定行えな。現在までの間、個人情報が流出したという情報はありませんが、引き続き動向を注意して参ります。

      安易に復旧すると後で痛い目に合う。

      • by Anonymous Coward

        引用文が崩れているのは、提言を作成したWord 2013が腐ってるためなのでご容赦を。

      • by Anonymous Coward

        それはケースバイケース。
        復旧を優先するか証拠保全を優先するかは現場現場、場合によっちゃ同じ現場でも今抱えている業務の状況で異なってくる。
        日頃、その線引きを決めておくことも運用の重要なタスクなんだわ。

    • by Anonymous Coward

      毎日バックアップは取っている。小さいサーバーしか扱った事がないだろ!!
      何も分かっていない。サーバー自体に入れるなら、半日でも出来る。
      初期状態に戻してから、入れ直す必要がある。どこに、ウィルスが残っているか分からないから!
      家庭用PCと訳が違う。全端末を新規入替も必要だ!!

      • by Anonymous Coward

        (ネタだとわかっているが)んなわけあるかいな...
        完全に痕跡が残らないで改変されることはまずないから、痕跡を追ってクリーンな範囲を特定してその部分に戻すよ。

    • by Anonymous Coward

      今NHKのニュースで、バックアップはあるがシステムの安全が確認できるまで復旧処理できないと言ってました。

      • by Anonymous Coward

        うーん、安全をどこに置くかだけど、「おかわり」が嫌ならそれなりの暫定運用をする形で、
        まずは証拠保全として現状のディスクデータとログをとりあえずコールドコピーしてから、
        取り急ぎここまで戻せばとりあえず問題ないであろうち思われる時点のデータでシステム自体はさっさと暫定復帰させて、その後ゆっくり原因究明すればいいのに。

        少なくともうちの周りでは業務復旧優先だとこの方針。
        どんな障害であれ待てて復旧まで土日挟んだ3日、平日だと24時間というところは多い

        • by Anonymous Coward

          セキュリティ絡みだと、他にも穴は無いのかってはなしからシステム総点検に繋がるから
          簡単にはいかないよ。

          • by Anonymous Coward

            それは原因究明重視では正しいんだけど、業務復旧重視だと止めておける時間にタイムリミットがあるので、穴がまだ開いていることを前提に、利用制限(インターネット接続完全遮断など)をかけて暫定的に復旧させることがある。原因究明と対策は暫定復旧後に時間をかけてやる感じ。
            これはその組織システム障害時の考え方次第なので、どっちも間違ってはいない。

    • by Anonymous Coward

      ランサムウェアはケースによっては40日前に感染し潜伏している状況もある。
      2ヶ月前のバックアップでないとダメそう。

  • by Anonymous Coward on 2022年11月02日 14時02分 (#4353894)

    院内のちょっとパソコンに詳しい人がファイルサーバーを立てて、いつの間にか退職していた...類だろう。Windows XP や Windows 7 をインターネットにつなげていて、もはやどうしようもない。電子カルテシステムはおそらくPHPなのだろう。

    • by Anonymous Coward

      分かりやすく電子カルテと言っているが、基幹はレセコン + オーダリング + 電子カルテ + 部門システムの複合体でしょ。
      で、このクラスの病院ならカスタマイズ山ほど入った富士通かNEC。
      どっちもWebベースシステムではない。

      • by Anonymous Coward

        ここはNECが入れてるっぽいですね。
        このクラスの病院なら医療情報部にベンダーの人員が常駐してて、即対応に当たっていると思う。

  • 病院とか人命に直結してる所は特にまずいけど、その他の機関や企業へのダメージも相応に重い。
    ランサムウェアに対しては国とかの管理で攻撃情報共有とか対策のためのシステム基準策定とかしてった方が良くない?

    ターゲットが私企業だけならまだいいけど、システムにリソース掛け(られ)ない病院がいくつもノーガードで放置されてる状況は社会的な問題では。

    • by Anonymous Coward

      それは対策する金を国が出してやるのか、規制を厳しくして対策費用を無理やりねん出させるのか、どちらですか?

      • by Anonymous Coward

        少なくとも国が動くならどう動くにしろ金は掛かるよ。
        補助金などで支援するにしても病院側もコストが全くかからないなんて事はない。元々やるべき事があるのだから。

        ただ、最も正しいやり方をした場合は全体の合理化で支払うべきコストは最小限になるし、ランサムウェアの被害も最小限になる。

    • by Anonymous Coward

      大きくない医療機関だとITや情報セキュリティに強い職員がほとんどいなかったりするので、
      攻撃情報共有しても全く見てなかったり読んでも意味が分からなかったり、
      システム基準策定しても準拠するようにしたのは最初だけで、あとはなし崩し的に運用が甘くなっていったり、
      ほとんど守られていなかったりするのが目に見えています。

      情シスに相当する職員への情報セキュリティに関する教育の支援や費用の一部負担を行いつつ、
      医療機関の規模に応じて大病院なら情報処理安全確保支援士の資格保有者の配置を義務付ける等、情報セキュリティに強い職員が参画する状態にする。
      非IT職も含む全職員へのセキュリティ意識のアンケートや抜き打ちのセキュリティ監査を行って、成績不良であれば改善を求め、改善が見られなければ罰則を適用する等、アメとムチを使い分ける必要があると思います。

  • by Anonymous Coward on 2022年11月02日 20時22分 (#4354181)

    > 当面の間、休診とさせていただくとする告知をおこなっている。

    これだろうなぁ。災害時も休診になる病院ということになるのだが…

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...