全2393文字
PR

 サイバー攻撃を受けた大阪急性期・総合医療センターは被害のあったシステムの復旧に全力で取り組み、2023年1月からの通常診療再開を目指している。サイバー攻撃に使用されたのは、ランサムウエア(身代金要求型ウイルス)。電子カルテシステムを含む基幹システムやバックアップなどのデータが暗号化された。

 厚生労働省が派遣した専門チームの調査では、ランサムウエアの侵入口は患者の食事を納入していた事業者「ベルキッチン」のシステムである可能性が高いとした。しかし、病院側はベルキッチンに対して、患者の情報をやり取りするサーバーへのアクセス権限しか与えていなかった。病院ではなぜ基幹システムまで感染が広がったのか。鍵となるのは「攻撃の横展開」だとみられる。

VPN装置の脆弱性を悪用され侵入を許す

 病院は厚労省の専門チームから、ベルキッチンのネットワークセキュリティー機器が古いバージョンのまま使用されていたと報告を受けた。ネットワークセキュリティー機器とは、ベルキッチンがデータセンターに設置していたリモートメンテナンス用のVPN(仮想閉域網)装置を指す。米Fortinet(フォーティネット)製で、攻撃を受けた当時、製品のOS(FortiOS)は脆弱性が残る古いバージョン(6.0.11)だった。

大阪急性期・総合医療センターのランサムウエア被害の概要
大阪急性期・総合医療センターのランサムウエア被害の概要
(出所:大阪急性期・総合医療センターの資料を基に日経クロステックが作成)
[画像のクリックで拡大表示]

 病院とベルキッチンは患者の食事に関する情報を病院内に設置したサーバー(栄養給食管理サーバー)を介して、やり取りしていた。病院側はサーバーに、患者の氏名やID、病棟名、食事の種類といった情報を集約。ベルキッチン側はインターネットとは独立した閉域網を介して、サーバーにRDP(リモート・デスクトップ・プロトコル)接続していた。ベルキッチンによれば、ベルキッチン側からアクセスできたのは栄養給食管理サーバーだけで、「電子カルテなどの個人情報が登録されたシステムへのアクセス権限はない」と説明する。

感染コンピューターから直接アクセスできるデータを暗号化する

 ランサムウエアは、感染したコンピューターが直接アクセスできるデータを暗号化する。具体的には、感染したコンピューターのローカルドライブにあるデータ以外に、ネットワークを介して接続するNAS(ネットワーク接続型ストレージ)やクラウドストレージ上にあるデータが暗号化の対象になる。

ランサムウエアに感染したコンピューターが直接アクセスできるデータが暗号化される
ランサムウエアに感染したコンピューターが直接アクセスできるデータが暗号化される
(出所:日経クロステック)
[画像のクリックで拡大表示]

 しかし、病院側のランサムウエアによるデータ暗号化の被害は栄養給食管理サーバーにとどまらず、ベルキッチン側にアクセス権限がなかった電子カルテシステムを含む基幹システムやそのバックアップのデータにまで及んだ。