Contents

インシデントに関係する各種ログを直接的に確認することはできず、
あくまでも病院側から提出が可能な資料と、ヒヤリングを行ったのが基本的な調査方法である。

データ復旧関連

11 月 3 日

16 時 00 分 A 社紹介の修復会社(以下、B社という。)との調査と復旧に関
する打ち合わせをオンライン会議にて実施。以下の方針を確認。
サーバー系統(約 15 台)、部門システムサーバー(台数不明)
をB社(東京)に郵送し、調査復旧を試みる。

11月 4日

10 時 40 分 B社と検討した対応を徳島県警察本部に報告。対応を了承。

17 時 30 分 B社および A 社と打ち合わせを実施。全部で 41 台の端末やサー
バーの発送を決定。エンジニアの派遣要請を行う。(→B社で検討も応じず。)
20 時 15 分 端末・サーバーリストの作成を行い、B社に送付。

11月 6日 14 時 15 分 端末・サーバーがB社に到着。

11月 8日

14 時 30 分 B社と直接協議を行う。
VPN を突破された可能性の指摘を受ける。
次の対応内容を確認。
→11 月 13 日までに約 3 分の 1 の端末やサーバーを初期化し返
却。11 月中に使用可能な端末と不可の端末に分けて初期化の
実施予定であることを確認。

11月12日

半田病院側でファストフォレンジック作業を実施も動作せず。
B社に追加の端末(6 台)を発送。
半田病院側でファストフォレンジック作業の開始(Lockbit によ
るデータ暗号化状況等の確認)

11 月 14 日 ファストフォレンジック作業の継続。

ウイルス対策ソフトによる端末のウイルス確認継続。
フォレンジック事業者の調査にて感染なしと確認された端末か
ら、ウイルスが内在していることを確認。
B社と協議を行い、対応難航により 11 月 16 日の一部サーバーの返却を確認。

11 月 16 日 ファストフォレンジック作業の継続。

B社と協議し、11 月 16 日返却不可の連絡あり

11 月 17 日 B社と修復進捗に関する Web 協議。Windows7 などの古い OS などは感染なしとの報告を受ける。

11 月 19 日

B社より暗号化されていたデータの一部が復元されたサンプルデ
ータが送付される。(復元できる状況になったことの確認。)
電子カルテの再開目標をサーバーの返却目処や電カルのサーバー
調整や導入などを鑑みて、22 年 1 月 4 日に設定。

11 月 22 日 身代金要求が行われていないが、支払わない方針を正式決定。

11 月 30 日 サーバー3 台がB社から返却される。

12 月 1 日 追加でサーバー2 台(医事サーバーなど)がB社から返却される。

12 月 2 日

12月6日

サーバーが複数台B社から返却される。しかし、B社にて修復された端末で修復漏れを確認。
さらに、サーバー9台がB社から返却される。

12月8日

サーバー動作確認の継続。
サーバー1台が、復元不完全の状態でB社から返却される。

12月10日 AD サーバーが返却され、クライアント PC との連携確認。

12 月 15 日 サーバー3 台がB社から返却される。

12 月 16 日 サーバー7台(画像(2 台)、透析、健診、内視鏡、検査、薬 剤)と端末 2 台がB社から返却される。

12 月 20 日 C 社、A 社と打ち合わせ。バックアップサーバーのデータが 2018 年以降物理的に削除されていることを確認。

12 月 24 日 各種端末の設定作業の継続実施。 サーバー1台がB社から返却される。

12 月 25 日 各種端末の設定作業の継続実施。 電子カルテ DB サーバーがB社から返却される。 DB サーバーの基盤損傷の可能性があり、部品発注

12 月 27 日 各種端末の設定作業の継続実施。 全サーバーがB社から返却され、返却分の継続確認。

12 月 29 日

電子カルテシステムのデータ復元を確認。
従来のサーバー利用案と破損したものはレンタルサーバーを利用
するハイブリッドでの電子カルテシステムの再稼働を決定。
対応していた端末の半分を配布。
サーバーと端末 11 台がB社から返却される。

12 月 30 日~2022 年 1月 3 日

各種端末やサーバーの設定対応継続。
残りの端末の配布。
データの移行作業。


CategoryDns CategoryWatch CategoryTemplate

MoinQ: Security/実例/つるぎ町立半田病院/有識者会議/3.3 事案対応の経緯 (last edited 2022-07-27 02:41:10 by ToshinoriMaeno)