Contents
今回のメールマガジンは神戸大学大学院工学研究科 教授 森井昌克 様にご寄稿いただきました。
【連載リレーコラム】
徳島県つるぎ町立半田病院サイバー攻撃被害の教訓 ~ランサムウェアが本質ではない?~ 神戸大学大学院工学研究科 教授 森井昌克 昨年からのこの一年あまり、製造業を営む大企業や流通大手、そして中小企業 に至るまでランサムウェアの被害が数多く取り上げられました。中でも象徴的 な事件としては、トヨタ自動車の主要取引先、いわゆるTier1(ティア・ワン) 企業である小島プレス工業へのサイバー攻撃が挙げられます。小島プレス工業 のランサムウェア感染および被害によって、トヨタ自動車の国内すべての工場 ラインが丸一日停止するという事態に陥りました。従来から危惧されていた サプライチェーンへのサイバー攻撃被害が現実のものとなったのです。 もう一つの象徴的な事件は徳島県のつるぎ町立半田病院へのサイバー攻撃とその 被害です。直接的にはランサムウェアの被害によって診察を含む病院全般が 停止するという事態に陥りました。半田病院の被害が象徴的であったのは、 その被害の大きさ、影響であり、完全復旧には二ヵ月以上、復旧に要する費用 が2億円以上要したという点です。業務形態は異なるとしても、ともに「事業 継続リスク」が現実のものになったという点で象徴的だったのです。
【半田病院の事例:何が問題であったのか】
つるぎ町立半田病院への不正アクセスにおける経緯、被害、その後の復旧、 および対策については、ほぼ復旧が完了した半年後の2022年6月に公表された 「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調 査報告書」 https://www.handa-hospital.jp/topics/2022/0616/index.html
- として詳細に述べられていることから参照してください。
ランサムウェアに 感染し、かつ被害を広め、さらに復旧に二ヵ月を要した原因は、あえて厳しい 言葉で表すとサイバー攻撃に対する病院側の無知と病院内のネットワーク構築、 運営に関係する複数ベンダーのサイバー攻撃およびその対策に対する知識およ び技術力の欠如なのです。
病院側としては、特にサイバー攻撃については、この1,2年厚生労働省からの 注意喚起とその対策に対する簡単なガイドラインは幾度となく出されていた ものの、その理解と具体的な対策に関しては対処出来ていませんでした。これ は病院内のネットワーク関係者だけで対処することは事実上困難だったのです。
このような状況は半田病院に限ったことではなく、都市部の大病院を除いて、 ほとんどの病院についても同様なのです。サイバー攻撃やランサムウェアに ついて、単なる不安はあったとして、それを理解できず、リスク評価どころか、 被害を想定する事すらできていないのです。これがほとんどの病院の実情で あり、現状なのです。
結果的に、ネットワークやその上で運用するシステム等 を納入しているベンダー側に頼ることになり、協力が不可欠となります。しか しながら、ベンダー側、特に地方の場合、実際の保守、運用に携わるのは地方 ベンダーとなることが往々にしてあります。必ずしも昨今のネットワーク事情 に対して、地方ベンダーのサイバー攻撃とその対策への知識および技術力は 全く追いついていないのが実情です。極端な場合、サイバー攻撃による被害と いう意識がなく、それ前提とした対策をまったく講じておらず、数十年前の アンチウイルスソフトによる対策から抜け出ていないのです。
今回の半田病院 の場合、病院側は「インターネットに接続しておらず外部からサイバー攻撃を 受けることはあり得ない」と信じ切っていました。ベンダー側から、そのよう に説明を受け、誤って納得していたのです。実際、ベンダーはVPN装置を介し て、インターネット経由で外部からリモート接続を行っていました。
半田病院のランサムウェア感染については、このVPN装置の脆弱性が大きく 取り上げられました。2年以上にわたって、このVPN装置の脆弱性が放置され、 かつその脆弱性が利用され、その固有の認証情報が公開されても、なお放置が 続き、ベンダー側はそのVPN装置を利用し続けたのです(しかもそのパスワー ドとIDは運用者の名前に基づいた6文字という杜撰さ)。閉域網(インターネ ットに接続していない病院内ネットワーク)という言葉を信じ、脆弱性のある VPN自体を全く意識しない病院側に問題はないとは言えないまでも、ネット ワークの保守、運用を専門としているベンダー側の対応は十分問題視されるべ きでしょう。
【半田病院の教訓:守るべき組織とベンダーに対して】
半田病院自体の問題点として、他にファーストフォレンジックを含む初期対応、 マスコミ対応、ネットワーク自体のセキュリティ対策の現状把握等、枚挙に いとまがありません。加えて、ネットワークやその上で運用している電子カル テを含む各種システムの保守/運用にあたるベンダーについても、セキュリティ に対する知識と技術、特に保守すべきシステムの評価、つまりセキュリティ上 の問題点を把握する必要がありました。ベンダー側も脆弱性のあるツール類や OS,それを無効化されたアンチウイルスソフトについては把握していたはずで す。まさかネットワークを専門としているベンダーが閉域網の神話を信じてい たとは考えられません。 半田病院の例は中小企業を代表しているといって良いでしょう。特に地方に おける年商が数億円に満たない中小企業にとっては同様の背景があり、必要 十分な対策を取るための資産、つまり「カネ、ヒト、知識」が圧倒的に不足 しています。その背景でのサイバーセキュリティ確保となると現実的には非常 に困難であることは否定できないでしょう。しかしながら不正アクセス対策は できる、できないの2択ではありません。可能な範囲の、そして可能な限りの 対策が存在するのです。 まず第一に、取引のある情報化(IT)に関わるベンダーとの情報交換、コミュ ニケーションをしっかり取ることです。その中でサイバーセキュリティについ て一切コメントがなく、見識が疑われるベンダーとは縁切るべきです。単なる 物品提供会社であったとしてもその品質を保証できないベンダーを信頼できる とは思えません。逆にベンダー側にとって、サイバーセキュリティは納入先の 他人事ではなく、納入物品あるいはシステムの安全を確保するものとして、 その知識や技術を必要な限り習得すべきです。 第二には被害を想定することです。例えばランサムウェアに感染したとして、 パソコンやサーバ内のデータが暗号化され、一切使えなくなり、身代金要求が あったとして具体的にどのような被害が起こるのかということです。更に大事 なのは、そのような事態にどのような対処が出来るのかを具体化することです。 多くの中小企業の最大の問題は「自社が狙われている」という危機感の欠如 です。四国の、それも奥深い山間部の病院が被害に遭ったという教訓は何より も大きいでしょう。 今回は病院とベンダーとの関係から、不正アクセス被害を深刻化させた原因を 説き、中小企業のサイバーセキュリティ確保のための現実的方策について述べ ました。半田病院をはじめ、昨今のランサムウェア被害、そして対策について はほとんど触れませんでしたが、下記の拙稿を参照して頂ければ幸いです。
ランサムウェアに感染したら? https://news.yahoo.co.jp/byline/moriimasakatsu/20210520-00238789
ランサムウェアの真実 ~その被害と限界~ https://news.yahoo.co.jp/byline/moriimasakatsu/20220708-00304593
ランサムウェアは怖くない!? 誤解されているランサムウェア https://news.yahoo.co.jp/byline/moriimasakatsu/20220808-00309225
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と 関係するものではありません。