勝手な評価だと思う。(引用部分が参考になるので、ここに残しておく。)
- 「なぜ復旧に2ヵ月もかかったのか」 : 2か月でよく復旧できたものだ。
https://medit.tech/handa-hispital-cybersecurity-incident-report-2022-june/
有識者会議 報告書の評価(抜書)
1. VPN機器の脆弱性を突かれ侵入を許す
報告書では攻撃を許し被害を受けた経緯について、はじめて系統的な報告がなされている。
半田病院の電子 カルテを含むシステムは閉域網で構成されており、外部からのアクセスはVPN機器経由と していた。評価は別として、小規模の医療機関ではよく採用される構成だったが、以下の 理由により攻撃者がかなり容易に侵入できる危険性が放置されていた。
VPN機器の脆弱性が放置されたままだった(当該VPN装置の管理者の資格情報がダークウェブで公開されていた) 閉域網内の各端末にインストールされている電子カルテシステムが古く、稼働させるためにOSが古いままだった(一部がWindows7) さらに電子カルテシステムの動作に支障があるとして、セキュリティ機能(ファイアウォールなど)の起動を取引事業者がさせ ていなかった
各端末のAdministrator ID が変更されていなかったうえに最小桁数の5桁設定複数回のパスワード誤入力 でロックアウトする設定もされていなかった
このため攻撃者が容易に、いわゆるパスワードの「総当たり攻撃」ができてしまう状況にあ ったとしており、実際にこの一連の脆弱性、セキュリティ設計の甘さを突かれ2021年10月 31日未明に複数の端末にログインされ、暗号化ソフトLockbit2.0によってデータを暗号化 されシステムが停止することになった。
侵入は10・31よりも以前だと思う。-- ToshinoriMaeno <<DateTime(2022-08-18T10:57:15+0900)>>
2. なぜ復旧に2ヵ月もかかったのか
- 復旧担当の事業者に異例の批判と「疑惑」を提示
システム被害を受けた病院側は、当日朝、公立病院として町に報告のうえ警察に被害届を提出
診療を継続するため人海戦術をとり、手書きで情報を書きとるなどの災害発生時のオペレーショ ンを発動、なんとか業務停止させずに持ちこたえた。
報告書では病院側のこの対応を評価したが、 依頼され被害復旧と「ファスト・フォレンジック」※を担当した事業者(報告書 ではB社と表記)には厳しい言葉を連ねている。
報告書によると、被害発生後に 復旧のため対応に当たったB社は、11月半ばにはデータの一部を復旧しサンプルとして関 係者に見せ、復旧が可能な状態になったことを示したもののその後進捗を図ることができ ず「適合が困難で復旧に時間がかかっている」などと病院側に報告していたが、突如年末 に全面復旧を果たした。
この経緯に関して、報告書は暗号技術そのものを解決しなければ データ復旧は原理的に不可能であることから、「何かしらの方法で修復に必要な手段を入 手」しデータの復元を行った可能性があると指摘した。なお病院は攻撃者に対し身代金を 支払っていない。
また被害の原因調査やエビデンス抽出などを行うファスト・ フォレンジックもB社が担当したが、病院がエンジニア派遣を要望したにもかかわらず応 じなかったこと、侵入経路や被害範囲を想定しながら保全していなかったこと、輸送によ るハードウェアの損傷などが生じる可能性や、院内の環境でなければシステムの動作など が正常に行われないなどの可能性があるにもかかわらず、対象端末を院外に持ち出して調 査を行ったこと、さらにネットワークに接続してのウイルススキャンを指示するなど「イ ンシデントの初動や調査の点からは考え難」く、「フォレンジックを行う企業としての対 応に不備があると言わざるを得ない」と厳しい表現で批判している。
実際、B社が以上の ような対応をしたことで、さきほど紹介した侵入経路の詳細なエビデンスなどが失われて おり、多くのPCやサーバの攻撃の相関関係をつかむことができなかったとしている。 ※ファスト・フォレンジック(Fast forensic)早急な原因究明、侵入経路や不正な挙動を把 握するため、必要最低限のデータを抽出及びコピーし解析すること。通常は障害発生した 現場、端末に専用ツールを直接実行して必要なデータを収集する。
3. 脆弱性を放置したシステム納入事業者にも厳しい批判
- 「善管注意義務を果たしていない」
侵入の原因となったVPN機器の脆 弱性放置、端末のOSバージョンやセキュリティ機能の不稼働に関しては、病院にハードウ ェア・ソフトウェアの納入を行った事業者2社(報告書ではA社とC社)の後ろ向きな姿勢 を糾弾した。
報告書によると、実態としてはC社がA社に指示を出し実際の納入・設定など を行なっていたにもかかわらず、A社が病院と直接ハードウェア・OSの設定などの契約を 行なっており、実態と契約関係の齟齬が生じていた。そのことが、C社とA社の保守運用の 責任分岐点についての認識の齟齬に発展し、一連の脆弱性放置の原因となったと指摘した。
病院側の人的・予算的リソースが不足し運用保守契約が結ばれていないことにも言及し つつ、しかし契約がないことでそうした齟齬を意識的に放置していたことを否定できない と批判した。 また、脆弱性放置について両社に調査をしたところ、VPN装置の脆 弱性については両社とも認識していたものの、両社とも担当外であるとの認識で病院に通 知は行っていなかった。OSのバージョン放置やセキュリティ機能の不稼働に関しては、C 社はOSのアップデートについて検証し、病院側に案内していた、セキュリティ機能の不稼 働(具体的にはファイアウォール)は、稼働させた場合の不具合報告はない、と有識者会 議には回答したが、実際にはどちらも稼働させないようA社に指示していた。
報告書はこうした2社の姿勢に対し、確かに現在の「医療情報システムの安全管理に関する ガイドライン 第 5.2 版」にのっとれば、保守契約がなければ定義上は責任はないといえ るが、事業者及びベンダーは医療情報を扱う当事者でなくとも、善管注意義務は十分にあ ったと考えるのが妥当だとし批判した。さらに「VPN 装置の脆弱性および ID 情報の公開 の事実があったにも関わらず適切な対処を講じなかったため今回の事件を発生させた」「 閉域網であることを理由に極めて初歩的なセキュリティ対策を継続的に怠った」と指摘し 、両社の責任は重いと断罪している。
4. システム運用に関わる構造的かつ普遍的な課題を指摘
報告書は事案が発生した背景として、半田病院 が経営的にICTに関するリソースを恒常的に確保できない状況にあることも指摘した。
具体的には https://www.soumu.go.jp/main_content/000742388.pdf 総務省報告の「公立病院の現状について」にあるように、公立病院の経営状況は惨憺たる 状況であり、一般的にICT部門がなく「少しパソコンに詳しい庶務係が担当を一人で兼任 しているような状況」であるとした。
システムの安全管理を実現するリソースを割く余裕 がないうえに、保守運用契約を締結する予算も捻出できないため、必要がありながらセキ ュリティ対策について医療システム事業者やサポートベンダーに依頼することもできない というわけだ。この場合ガイドラインでは保守運用の責任は第一義的には病院にあるが、 このように満足にリソースが確保できない状況が固定化していることから、病院側が運用 面の実務責任を負うのは現実的でないという提言だろう。
そして現状のガイド ラインも、複数のガイドラインが存在すること、抽象度が高いこと、ISMSなどを前提とし ているために要求ハードルが高く、ガイドラインそのものにも課題があると指摘。
リソースの乏しい病院も対応できるような、具体的な対策を丁寧にまとめた具体的なガイドライ ンへの変更や作成が求められるとしている。
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf 外部リンク(PDF):徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 }}}