地方独立行政法人 岡山県精神科医療センター(精神病床:255床)で2024年(令和6年)5月19日に起きたランサムウェア被害。
データーセンターの保守用VPN装置が侵入口と強く推測。
病院情報システムが完全に復旧するまで3ヶ月。

徳島県つるぎ町立半田病院、大阪急性期・総合医療センターの報告書の指摘事項とまったく同じ脆弱性が招いたランサムウェア被害。

本記事は参考サイトの調査報告書をまとめたもの。
(調査報告書PDFをAIに読み込ませて聞きたいことを質問した方が分かりやすい)

参考サイト

経緯

  • 2024年5月13日: 攻撃者が保守用のSSL-VPN装置経由でシステムに侵入(後日判明)。以降、ネットワーク内部の調査や情報窃取を開始。
  • 2024年5月19日 13:10~17:34: サーバーや端末の暗号化が実行される。
  • 2024年5月19日 16:00頃: 職員が電子カルテの動作停止を確認。ベンダー(A社)による調査が開始される。
  • 2024年5月20日 06:15: ベンダーがバックアップファイルから不審な拡張子を発見し、ランサムウェア感染が確定。
  • 2024年5月20日 06:15~7:00: 災害対策本部を設置し、紙カルテによる診療継続を決定。関係各所へ報告。
  • 2024年5月20日 16:00: ホームページでサイバー攻撃を受けたことを公表。
  • 2024年6月1日: 中古サーバーを利用し、電子カルテの仮稼働を開始。
  • 2024年6月7日: 岡山県警より、個人情報が流出した旨の連絡を受ける。
  • 2024年6月11日: 最大約4万人分の要配慮個人情報が漏洩した可能性があるとして記者会見を実施。
  • 2024年7月4日: 新しいサーバーで電子カルテが復旧。
  • 2024年8月17日: サーバーストレージの入れ替えが完了し、インシデント発生から90日を経て病院情報システムが完全復旧。

感染経路

初期侵入
  • 侵入経路: データーセンターに設置されていた保守用のSSL-VPN装置が侵入口と強く推測。
  • 原因: 以下のいずれか、または複合的な要因が考えらる。
    1. 弱いパスワード: ID/パスワードが「administrator/P@ssw0rd」という非常に推測されやすいものであったため、辞書攻撃を受けた可能性。
    2. 脆弱性の放置: VPN装置に、2018年の設置以降修正されていない複数の脆弱性が存在した。
    3. 資格情報の購入: 攻撃者が、不正なルートで売買される認証情報を購入して侵入した可能性。
内部感染拡大(水平展開)
  • 原因: 以下の2点が内部での感染拡大を容易にした。
    1. パスワードの使いまわし: VPN装置の管理者パスワードが、病院内のすべてのサーバー・端末の管理者パスワードと共通だった。
    2. 不適切な権限管理: すべての一般ユーザーに管理者権限が付与されていた。
  • 手口: 攻撃者は窃取した管理者権限を悪用し、各コンピューターに容易に侵入。
    ウイルス対策ソフトを無効化・削除しながら、ランサムウェアを実行してファイルを暗号化。
感染したランサムウェア

国内で販売されている主要なウイルス対策ソフト60製品以上で検出・防御が可能な、既知のランサムウェア。
脅迫状(ランサムノート)は、病院内の一部のサーバーの特定フォルダにのみ保存されていた。
これにより、被害発覚の初動でランサムウェア攻撃であると特定するのが遅れる一因となった。

被害額

具体的な被害総額は報告書に明記されていない。
また身代金の支払いは行っていない。
直接的な対策費用だけでも数千万円規模に上る可能性が非常に高い。

  • 復旧工数65人月
  • PC200台の新規導入
  • 外部専門家への調査依頼
  • コールセンター設置

課題と解決に向けて

技術的な課題
  • 脆弱な設定: VPN装置の脆弱性放置、推測容易なパスワードの使用、Windows Updateの未実施など、基本的なセキュリティ対策が欠如。
  • 不適切な権限管理: 全ユーザーに管理者権限を付与しており、侵入後の被害拡大を容易にしていた。
  • 不完全なバックアップ: 復旧の要となるオフライン・バックアップが正しく取得されておらず、迅速な復旧を妨げた。
組織的・人的な課題
  • 「閉域網神話」の蔓延: 「病院のネットワークは閉域網だから安全だ」という誤った思い込みが病院とベンダー双方にあり、セキュリティ対策を軽視する根本原因となっていた。
  • ベンダーへの丸投げ体質: セキュリティ管理をベンダーに依存し、病院側で仕様や設定をチェックする体制がなかった。
  • 過去事例からの学習不足: 他病院の類似事案を認識していながら、具体的な対策に繋げられていなかった。
技術的対策
  • 侵入防止: 多要素認証の導入、長く推測困難なパスフレーズの採用、VPN装置の脆弱性管理を徹底する。
  • 被害拡大防止: ユーザー権限を必要最小限に限定し、管理者権限の付与を厳格化。Windows Updateを定期的に実施し、ネットワークをシステムごとに分離(セグメント化)する。
  • 迅速な復旧: オフライン・バックアップ及びクラウドバックアップを確実に取得し、定期的に復旧テストを実施する。
組織的・組織的対策
  • ガバナンス強化: 「医療情報システム安全管理委員会」を設置し、病院主導でセキュリティ方針の策定や監査を行う体制を構築する。
  • ベンダー管理の見直し: 契約内容にセキュリティ要件を明記し、ベンダーの対策状況を定期的に確認・評価する。
  • 教育と訓練: 全職員を対象に、インシデント発生時の初動対応(LANケーブルを抜くなど)や不審メールへの注意喚起など、定期的なセキュリティ教育と訓練を実施する。