徳島県のつるぎ町立半田病院を突如襲った2021年10月のランサムウエア(身代金要求型ウイルス)被害。調査に当たった有識者会議はその調査報告書において、攻撃者は米Fortinet(フォーティネット)製VPN(仮想私設網)装置の脆弱性を悪用して不正侵入した可能性が極めて高いと結論付けた。他の侵入手段も検証したものの、同病院のケースでは考えにくいとした。
つまり、VPN装置の脆弱性を適切に修正しておけば不正侵入されず、被害を免れた可能性が十分にあったことになる。徳島県西部医療圏の地域医療の要である半田病院は、IT担当者が1人しかおらず、脆弱性の情報を自ら収集するなどのセキュリティー対策を講じる余裕がなかった。それでも、脆弱性の修正が必要なことや、ランサムウエアへの注意喚起がもたらされていれば、作業の優先度を調整して対処できた可能性はあるだろう。
セキュリティー関連情報を半田病院に届けるルートは主に2つあった。1つは、フォーティネット日本法人が販売パートナーを介してエンドユーザーに提供するルート。もう1つは、厚生労働省から徳島県の医療政策課を通じて医療機関に届けるルートだ。
結果からいえば、どちらのルートも機能しなかった。日経クロステックの取材により、フォーティネット日本法人と厚労省がそれぞれ注意喚起の伝達を依頼したものの、情報を届けるための「供給網」が機能せずに途中で止まっていたことが分かった。
運用保守契約を結んでいないと情報が伝わらない
1つ目のルートを見てみよう。Fortinetは2019年4~5月に脆弱性「CVE-2018-13379」を公表し、修正版のファームウエアを公開。日本法人も同社と直接取引するパートナー企業に対し、技術定例会議などの場で同脆弱性を説明し、エンドユーザーへの対応を依頼した。
パートナー経由で製品を販売する同社にとって当然のルートといえる。ただこのルートは、同社と直接取引していないベンダーやエンドユーザーには、脆弱性の情報や重大さが必ずしも伝わらないという課題がある。
実際、フォーティネットがパートナーに対応を依頼した後も、脆弱性を放置するエンドユーザーが少なからず存在した。象徴する事態が2020年11月に判明する。脆弱性を修正していないまま稼働する同社製VPN装置のIPアドレス一覧、約5万台分が闇サイトにさらされた。
事態を重くみた同社はパートナー企業に改めて周知するとともに、さらされたIPアドレス一覧を分析。連絡先が判明した顧客には直接連絡した。ただし、このときに「半田病院は見当たらなかった」(同社)。
半田病院にも同社からの情報は届かなかった。半田病院でVPN装置の設置に関わった主なベンダーは、調査報告書のC社に相当するJBCCホールディングスと、A社に相当するスタンシステムである。装置を最初に設置したのがJBCCホールディングスで、2019年に発生した機器故障のタイミングでスタンシステムが装置の設置と設定作業を引き継いだ。
2社はいずれも、フォーティネット日本法人のパートナーではなかった。ともに半田病院がランサムウエア攻撃を受ける2021年10月よりも前に同脆弱性を把握していたものの、病院には通知しなかった。
JBCCは、VPN装置の運用保守契約を結んでいたユーザーにはメールなどで通知し、対応したとする。しかし、半田病院は運用保守契約を結んでいなかったため、当然、通知が来なかった。しかもJBCCは2019年9月以降、半田病院のVPN装置の担当自体から外れたため「どのように運用していたか把握しておらず、脆弱性についても案内していない」(JBCCホールディングス)とする。
一方のスタンシステムも脆弱性情報を伝えていなかったことを認めた。2021年9月に判明した認証情報の流出などにより「多くのメディアが報じたので半田病院も知っていると思い込んでいた。今から思えば話題に出すべきだった」と同社は悔やむ。こうしてベンダーから情報を届けるルートは、途中で途切れてしまったわけだ。
厚労省は4カ月前に注意喚起の文書を作成していたが…
もう1つのルートである厚労省からの注意喚起はどうだったのか。同省は「医療機関を標的としたランサムウェアによるサイバー攻撃について(注意喚起)」と題する文書を2021年6月28日付で作成した。半田病院のランサムウエア被害が判明する約4カ月前に当たる。
