半田病院に必要だったのはレッドチーム

つるぎ町立半田病院

1. コンピュータウイルス感染事案有識者会議調査報告書

事故対応アワード (発表したことが評価されたらしい。) https://news.mynavi.jp/techplus/article/20220629-2360460/

1.1. コンピュータウイルス感染事案

コンピュータウイルス感染事案有識者会議調査報告書について https://www.handa-hospital.jp/topics/2022/0616/index.html

1.2. 気づき

令和3年10月31日の未明 (2021年)

(攻撃はそれより前と推測)

2022年1月4日の通常診療再開

今回のインシデントの原因追求とこれから の対策を講ずるために有識者委員会の立ち上げを計画し、翌月から正式な活動を開始しました。

コンピュータウイルス感染事案有識者会議調査報告書 6月7日

3か月後の調査委員会

https://togetter.com/li/1903531

3.4.2 調査方法

インシデントに関係する各種ログを直接的に確認することはできず、
あくまでも病院側から提出が可能な資料と、ヒヤリングを行ったのが基本的な調査方法である。


https://www.handa-hospital.jp/topics/2022/0616/index.html 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について

全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、
患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当て
インシデント対応を行っていきました。

調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、
電子カルテより必要に応じて抽出していたデータなどを利用し、
令和4年1月4日に通常診療を再開することが出来ました。

つるぎ町立半田病院コンピュータウイルス感染事案現地調査委員会 もあるが、その報告は?

1.3. 調査報告書

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 2022 年 6 月 7 日 https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf

有識者会議調査報告書によせてより:
つるぎ町立半田病院では病院業務が復旧した令和4年1月から
今回のインシデントの原因追求とこれから
の対策を講ずるために有識者委員会の立ち上げを計画し、翌月から正式な活動を開始しました。

発生から3か月も経ってからの調査は難しかったろう。

1.4. 本委員会の目的

本委員会の目的は、今後このようなサイバー攻撃を防ぎ、
かつサイバー攻撃に遭ったとしても堅固な情報システムの構築を目指すだけでなく、
全国各地の病院、さらには組織、企業が有する問題点を明らかにし、
サイバー攻撃に耐性のある情報システムの構築、そして組織作りについて一つの指針を与えるものです。

第2条 会議は、令和3年10月31日に発生した事案に対し、その原因分析、被害状況の実態把握、再発 防止策等など病院運営に関する重要事項について審議し、病院事業管理者(以下「管理者」という。)に提 言する。

令和3年10月31日未明、病院内に設置されていた複数台のプリンタが、一斉に犯行声明を印字し始めたことでインシデントが発覚した。

Lockbit2.0 によるランサムウェア(身代金要求型ウイルス)に感染し、
患者の診察記録を預かる電子カルテなどの端末や関連するサーバーのデータが暗号化され、
データが使用できない甚大な被害が生じた。
----
幸いにして、フォレンジックを請け負った事業者が、
(データを確認できる範囲で)元の通り復元をすることができたと考えられる。
その後、端末の初期化対応を行い、端末を再利用したり、システムやネットワークを
最低限見直したりした上で、令和 4 年 1 月 4 日の通常診療の再開にこぎつけることができた。

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 ― 技術編 ―

https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf

1.5. 合同会社デジタル鑑識研究所

ランサムウェアで暗号化されたファイルは取り戻せません

合同会社デジタル鑑識研究所 2022年7月16日 15:29

https://note.com/folclore/n/nc97b27844a47#a863d4b0-3d21-4761-bd1d-fb496485bada

「半田病院は身代金を支払わない方針を決めており、身代金を支払った事実もない」と書くことにより、
フォレンジック業者が依頼者の意に反して身代金を支払ったことを示唆しています。

この報告書を書いた有識者会議は、これら4点を指摘(というより指弾)することで
暗に「業者が身代金を支払ったんじゃね?」と言いたいのです。

1.6. コメント

半田病院のランサムウエア被害は「日本の縮図」、調査報告書があぶり出した3つの課題 島津 忠承 日経クロステック/日経NETWORK 2022.07.05

VPN(仮想私設網)装置を設置した徳島市のベンダー、スタンシステム

電子カルテシステムやVPN装置、ネットワークといった機器やソフトごとに管轄するベンダーが異なっていた。

3.4.2 調査方法

上記は、システムを導入している A 社や、インシデント調査や復旧を行ったB社が実施すべきではあるが、
調査は基本的にファストフォレンジックツールなどのツールを使用するのみであって、
関連する詳細調査が行われていない。
また、システムや端末を初期化していること、VPN 装置などはファームのアップデー
トなどを、ログ保存を行わずに実施していることから、ログの調査を実施することはでき

3.4.3.2 内部侵入(概要)

その後の侵入等については、B社が実施したファストフォレンジックの報告書である「FF レポート」に基 づいて記載をする。

またこれまで述べた通り、多数の PC やサーバーでログオンの成功や Lockbit2.0 の暗号化されたファイル
が確認されている。また 7 台の端末のログオン元となった端末を始め、3 台の端末は AD サーバーへのログ
オンが成功していることから、病院内の環境情報などが盗み見られ、全てのネットワークやシステム、端末
にアクセスできた可能性は高く、情報が盗み見または漏洩した可能性は否定できない。

1.7. 3.4.3.5 データの復旧

デジタル鑑識研究所

上記の通り、多数の PC やサーバーが Lockbit2.0 によって暗号化されてしまったため、院内のシステムに あるデータが利用できない状況になってしまった。想定される復旧としては大きく二点である。

2018 年までにオフラインで保管していたバックアップデータについては Lockbit2.0 の影響を受けなかったため、
復旧することができた。

もう一点は、B社による復旧で今回のデータ復元に必要な手段を入手し、対応した可能性である。

特に後者の復旧においては、最終的な復旧方法はB社独自の調査のため詳細は把握できなかったが、 半田病院側との会議の中で「適合が困難で復旧に時間がかかっている」「修復プログラムを組んでいる」 といったようなやり取りがあったこと、 さらには、データを復元できていることから、 何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある。

なお、楕円曲線暗号などの暗号技術そのものを解決しなければデータ復旧を行うことができないため、 B社の回答はセキュリティの初心者であるユーザーへの説明不備であり、 修復プログラムではなくデータ復元に必要な手段を入手したと考えるのが復旧の流れとしては考えるのが妥当である。

しかしながら、攻撃者によるデータ暗号に関する脅迫文は最初のプリンタによる出力のみであり、 データが攻撃者によって公開された事実などが確認できなかったこと、 それ以降の身代金要求の事実も確認できなかったことなどから、B社の折衝は定かではない。

なお、当然なが ら半田病院は身代金を支払わない方針を決めており、身代金を支払った事実もない。


CategoryDns CategoryWatch CategoryTemplate

Moin2Qmail: Security/実例/つるぎ町立半田病院/有識者会議 (last edited 2022-08-13 00:56:15 by ToshinoriMaeno)