セキュリティの
学び場

今回の解説ニュース

医療機関に対して行われたランサムウェア攻撃について報告書が公開されています。調査結果からわかるランサムウェア攻撃の概要と、医療機関でサイバー攻撃の被害が発生してる背景について説明します。

今回の報告書では、攻撃の手順や本障害における被害状況、本インシデントの技術的発生要因と再発防止策が挙げられています。

また、人的発生要因として「『医療機関は閉域網だからセキュリティは問題ない』といった誤った閉域網神話の中で、セキュリティに関する意識が薄れていた。」ことを挙げ、ベンダーに対しては「システムや機器を提供する専門家としてサイバーセキュリティの知識と経験向上に努めるべき」と、病院に対しては「セキュリティ意識を高く持ち、組織的にシステムや機器の導入および運用を心掛けた取り組みが必要」と指摘しています。

報告された様々な要因、何が更なる被害を拡大させたのか

本医療機関にランサムウェア攻撃の被害が拡大した原因の一つとして、多層防御の考え方とパスワードポリシーが欠如していたことが挙げられます。推定されている攻撃の手順をひも解きながら、本来必要とされる対策について説明します。

同報告書の調査結果から、攻撃者はまずリモート保守のために設置されたVPN機器の脆弱性を用いて侵入したようです。もちろん、VPN機器の脆弱性は修正されるべきですが、報告書でも指摘されているように、IDとパスワードが漏洩することでも侵入される可能性があります。よって、多層防御の考え方では、あらゆる方法でVPN機器に侵入されても、重要なシステムへ侵入されないように、そのパスワードは第三者が推測できない文字列を設定すべきです。

設定されていたパスワードについて報告書では、データセンターのIDとパスワードが脆弱であったこと、複数のサーバでIDとパスワードが共通であったことが指摘されています。再発防止策として、Windowsのパスワードを、サーバ、端末毎にすべて個別化していることが挙げられていますので、今後は被害拡大の対策として有効に機能することが期待されます。

医療機関へのサイバー攻撃被害が多く発生する背景

医療機関でサイバー攻撃の被害が多く発生している背景として、システムに存在している脆弱性と、それが狙われる可能性としての脅威が、より広範囲で重なっていることが考えられます。

同報告書では、人的発生要因として閉域網神話を挙げています。閉域網神話とは、システムがインターネットにつながっていないため、サイバー攻撃を受けることはないという妄想です。VPN経由でインターネットと間接的に接続されたり、外部から持ち込まれたパソコンが物理的にシステムへ接続されたりして、神話が崩れることがあります。このような閉域網神話から、脆弱性の修正が見送られたり、安易なパスワードが設定されることが許容されている場合があります。

また、医療機関が命を預かるシステムであることから、ランサムウェアへ感染した際、直ちに復旧することが強く求められるシステムであるため、被害者が身代金の要求に応じる可能性が高いと考えられます。攻撃者によっては、道徳的に医療機関を攻撃対象から除外している場合もありますが、攻撃者の倫理観に期待することは現実的ではないため、狙われる可能性としての脅威は相対的に高いことが想定されます。

今回は、調査結果からわかるランサムウェア攻撃の概要と、医療機関でサイバー攻撃の被害が発生してる背景についてお届けしました。