ランサムウエア攻撃により電子カルテなどが暗号化され、外来診療や各種検査の停止を余儀なくされた大阪急性期・総合医療センター。原因や再発防止策を検討する有識者による調査委員会は、2023年3月28日に報告書を公表した。
ランサムウエアによる被害額は現在精査中としつつ、調査復旧費用で数億円、診療制限に伴う逸失利益としては十数億円以上を見込む。報告書では、被害の拡大につながった技術的・組織的要因について言及した。
容易に横展開を許した理由
報告書では、攻撃の流れについて順を追って説明した。攻撃者はまず、病院が入院患者の給食提供を委託していた事業者のシステムに侵入した。給食事業者のシステム構築・保守を担当する事業者が設置し、リモート保守に用いていたファイアウオールが侵入口だった。
攻撃者は給食事業者のシステムから窃取した病院のサーバー認証情報を用いて、病院が管理する給食サーバーに侵入した。病院のファイアウオールは閉域網を介して接続していた給食事業者からのRDP(リモート・デスクトップ・プロトコル)通信を、常時接続できるようにしていた。給食サーバーを踏み台に、電子カルテサーバー群や部門システムのサーバーにランサムウエア「Elbie」の感染を広げた。
このような攻撃の横展開を許した原因は、閉域網を過信した病院システムのセキュリティー対策の甘さだった。病院のサイバー攻撃対策は境界防御に依存しており、院内のネットワークのセキュリティー対策は手薄だったのだ。報告書では具体的に以下の点を挙げた。(1)共通のパスワードを使用していた、(2)アカウントロックの設定がなかった、(3)すべてのユーザーに管理者権限を与えていた、(4)電子カルテシステムのサーバーにウイルス対策ソフトが導入されていなかった――の4点だ。
病院システムのサーバー、端末では共通のパスワードを使用していた。1つのパスワードを窃取すると、ほかのサーバーや端末を乗っ取ることができる状態だったのだ。連続した規定回数以上のログイン失敗によりアカウントをロックする設定をしていなかったため、パスワードの総当たり攻撃によりログインを試行するのも容易な環境だった。
給食事業者と接続する同様の給食システムを利用している別の2つの医療機関は、給食サーバーと電子カルテサーバー群のパスワードは別のものを使用していた。ネットワークセグメントも給食サーバーと電子カルテサーバー群とで分けていたため、結果として電子カルテシステムへの侵入や暗号化を防ぐことができた。
再発防止策として、セキュリティーポリシーを次のように改めた。パスワードは16桁以上、端末ごとに個別設定する。連続5回以上の認証失敗で、15分間ロックアウトする。基本的に標準ユーザーで運用し、電子カルテシステムにもウイルス対策ソフトを導入した。
