大病院で起きた大規模サイバーテロ:閉塞網が作る慢心が産んだ惨事

大阪急性期・総合医療センター(大阪府立総合医療センター)で昨年 2022/10 に発生したサイバー攻撃に関する調査報告書を読みました。

大病院を「修羅場」に変えたサイバー攻撃 異変はひそかに忍び寄った

システム障害じゃない!「犯行声明」で始まったランサムウェアの悪夢

asahi.com の記事を見た時、「ああそう言えばあったなぁ」程度のものでしたが、実際に中身を読むと実に多くの事が書かれているので、タメになります。


情報セキュリティインシデント調査委員会報告書について

調 査 報 告 書

大阪急性期・総合医療センター 情報セキュリティインシデント調査報告書 概要 2023.3.28 調査委員会

大病院で起きた大規模サイバーテロ:閉塞網が作る慢心が産んだ惨事_a0056607_22193011.png

医療機関は閉域網


特に

"医療機関は閉域網だからセキュリティは問題ない」といった誤った閉域網神話の中で、セキュリティに関する意識が薄れていた"

という要因の分析には心が折れます。

医療機関もそうですが、製造業などでも生産装置の制御のため、古いオペレーティングシステムを使った生産・品証システムは多くあります。何十年もの償却期間が必要なシステムですから、周辺機器も併せて、何十年も使うわけです。当たり前のように、インターネットには繋がらない事が前提で、その様な機器が使われているわけなんですが、「インターネットには繋がっていない」のではなく「インターネットに繋がる可能性がある」という前提で考えるべきなのでしょう。

この病院には、新品で2013年に購入した当時最新の医療機器の制御端末が使用されています。当初の購入時点で、その制御端末は、既に販売およびサポートが終了している、あの懐かしい香り漂うWindows 2000です。この事実は、胸を打つようなエピソードですね。なぜなら、そのように古いシステムがなぜ現代の最新医療機器と一緒に提供されているのか、疑問に思われるからです。しかしこの背後には、「医療機関はインターネットに接続されない」という暗黙の了解があります。この背景により、ベンダーも顧客の医療機関も、セーフティガードの不足した医療機器を、ローカルネットワークの一部として考え、その意識の下で販売および利用してきた経緯があります。



実際の侵入の経緯


実際には病院の中核の医療関係のシステムが狙われたのではなく、取引先の給食事業者が運営するクラウドから侵入され、これを踏み台に病院の中核が襲われた、といういきさつの様です。

いわゆる傍系。傍系から中核のシステムに入られたわけです。病院内の給食用システムは、NIC を二枚刺しして、本来セキュアであるべきデディケートした構内システムとルーティングできる設定だった。攻撃者は、この給食システムの脆弱性を見た時、心が踊ったことでしょう。稲葉山の城攻めで致命的な中入りのポイントを見つけた織田信長の気持ち、と言うのは簡単ですが、その前にズラリと重要なシステムが並んでいるのです。

実際、インターネットが使える側の配線と、医療システム側のネットワークはケーブル二本差で両方のネットワークが見える構成だったものがいくつかあった。そこを踏み台にして、共用パスワードで難なく侵入できたらしい。

IT 系メディアは、パスワードが使い回されたり、中核の電子カルテにウィルスソフトウェアが入っていなかったなどの点を「ずさん」と片付けていますが、これらは全て「医療機関は閉域網」という暗黙の了解の元での脆弱性の放置なのです。システムベンダーにとっては、インターネットにも繋がらない機器にどうやってパッチを当てるのか、ウィルスパターンの入手、配布、更新はどうするのか、運用上のセキュリティの担保はどうるるのか。これらはベンダーとしては考える必要は無いわけですし、顧客側のシステム運用担当者にとっても、休日出勤して深夜にパッチと再起動、動作確認、みたいなヘビーな業務から開放されるなら、「プロダクトネットワークは閉域網にある」という前提は極上のセキュリティ対策なのです。

病院の診察室でよく見るんですよ、レントゲンの画面を NANAO のプロモニタで見せながら、左隅のスタートボタンのデザインがやけに「酸っぱい思い出アイコン」なんですね。これ医療業界ではほとんど常識なんでしょう。これ、医療機関では当たり前なのは、病院へ言ってみれば「実感」します。

実際、医療機関のみならず、製造業や重要な公共的なインフラなどでも、古いオペレーティングシステムは閉塞網の中で使われ続けています。


医療業界に蔓延る「閉塞網安全神話」


読めてくるのは、個々の運用方法や設定の不具合、不備ではありません。パスワードの運用問題もセキュリティ対策の不備も、全てが「閉塞網安全神話」を前提としてシステムが構築されている点です。

これは決して利用者、運用者である医療機関側だけの問題であるとは言い切れないのです。医療機関を取り巻く医療機器ベンダー、医療関係のシステムインテグレータ、彼らを取り巻く「医療に関する IT ビジネス」業界全体が抱えている根深い問題じゃないでしょうか。報告書の中にも、このインシデントを天下国家ひとまとめにして議論すべき問題だとまとめていますが、私も同意します。

医療機器ベンダーにとっては機器が売れて定期的な消耗品ビジネスが成功すればいいわけで、情報システムとしての「セキュリティ」は面倒なので売りたくないのです。また、インテグレータ側としては、セキュリティ要件、情報漏洩などの要求要件の高い医療機関相手に、手間と時間がかかるソフトウェアとしてのセキュリティシステムの運用を安易に売りたくない。医療機関としても形のないシステムの高度な運用手順やセキュリティソフトウェアなんかにはお金を払いたくない。病院側としては提供したいのは医療期間としての医療技術であって、IT システムを使った医療じゃない。これは、IT を軽視して動かないシステムを続けて運用してきたどこかの金融機関と同じ IT の軽視なんですね。

そこに救世主の様に

「閉塞網だから」

という理由でコストカットされるわけだから、IT ベンダー、医療機器ベンダー、インテグレータ、医療機関にとっては、閉塞網というコトバは難題全てをチャラにする便利なキラーワードだったのでは無いでしょうか。


硬直化する運用ポリシー


システムは運用当時から、どの様に運用され、どこのどの部分を誰が、どの組織が担当するのかが決められるわけですが、当然最初に作っtルールは、硬直化したり、時代遅れになったりするものです。

運用者側もサービスを提供するベンダーも、早くその事実に気がついて、セキュリティや運用ポリシーについて見直す必要があるのです。その際、中心になるのは、運用者である、顧客側。と言ってしまうのは、サービス提供者側からの意見であり、一方的でしょう。

しかし、システムは、正常系の運用が最大限に担保されるもの、と言った法則がまかり通り、異常系のトラブルは、実地試験や BCP 対策の中に組み込まれトレーニングや検証など、中々提案しにくいものです。

ある銀行では、システム統合のため、ATM を二日間止めて、システム移行のリハーサルを行ったことがありましたが、そう言った提案は中々ベンダー側からは出ません。顧客からの提案があれば前向きになれるものです。

同時に惨事復旧やセキュリティチェック、基幹系システムのパッチ当てなどは、中々ベンダー側から顧客には提案できないものです。

顧客にとっては、金を生むネタではないのです。

セキュリティをネットワークのエッジで防御する手法は既に時代遅れなのでしょう。全ての機器がネットワークに向けて広がっているゼロ・トラストであるという前提で物事を考える時代に変化してきているのですが、思考が21世紀初頭の Windows 2000 時代のまま硬直している。当たり前ですけど、個々の単位でセキュリティを設計して運用するには、当然、お金も人材も時間もかかる作業です。

PDCA サイクルという考え方自体がそれほど新しいコンセプトでもなかったはずなのに、セキュリティの考え方はどこに行ったのか。




バックアップが救いだった


幸いな事に影響の大きな情報漏洩の形跡は見当たらなかったこと。またオフラインバックアップデータからの復旧が可能だったことは幸いです。重要なデータをランサムウェアで破壊されたわけですから、やっぱりバックアップは重要です。

ランサムウェアでバックアップも全滅したニップンの事例よりは、まだ救いがあった。

システム運用者側からすると、バックアップは取れて当たり前で、データのリストアはできればやりたくない事です。私の取引先のシステム管理者さんの中には

「バックアップからリストアする必要に迫られたら管理者失格」

と言い切るお客様がいらっしゃいました。やったことがあるのでよくわかりますが、ベンダー側の技術者もリストアなんてしたくない。特にバックアップシステムも破壊された場合は、テープメディアがワンビシアーカイブさんみたいな山奥の金庫にオフラインで安全に保管されていても、もう地獄です。何しろリストアする前に金庫の中の何十本もあるテープを全部読み込んで、テープのデータベースから作り直さなければならない。そこから、リストアできるデータをピックアップするという気持ちが折れそうな作業が必要です。それを全フロアからのいつ終わるんだというエンドユーザさんからの冷たい視線を感じながら作業するわけです。

データ損失のタイミングとバックアップのタイムラグでどの様な不整合があるかわからない。やっぱりリストアはやりたくないことの一つです。

リストアが必要なインシデントが発生したらそれはシステム管理者として負けです。リストア作業は航空機のパイロットなら滅多に経験しない「重要インシデント」の最悪の結果です。一つ余計なことを言わせてもらえれば、主業務システムとは全く異なるオペレーティングシステムでバックアップを取るべきだと考えます。


--
報告書全体は、如何にも「第三者視点」で書かれています。ここで特定のベンダーを非難するとか、顧客側組織の問題として終止していない点は救いがあるでしょう。全体として感じるのは、医療機関という特殊な事例に有りがちな「デディケートしたネットワーク」を見て見ぬふりをしてきた医療業界を取り巻くITシステムの安全神話をトコトン打ち壊す報告だったという印章です。

"国や自治体レベルでセキュリティ機能を集約したり、医療サービスにおける共通プラットフォームを確立したりするなどの検討を、厚生労働省に限らず、国全体で国民の命を守るための医療機関のセキュリティ体制の検討が必要である"

業界のみならず、国家や自治体も積極的に関与して取り組むべき課題であるとしています。

このシステムトラブルで、患者の生命に危険が及んだとかの報告は含まれていません。幸いにも、このインシデントが直接患者の生命に関わる事故に繋がったということはなかったようです。しかしコロナ禍で全国の医療機関が逼迫していた時期で、地域の緊急医療を担うべき立場の医療機関での事故ですから、決して平和に終わったとは思えません。その点を報告書にはありませんが、このインシデントに関わった担当者全員が感じているでしょう。むしろ、報告の中でメンバーのメンタル面でのサポートについても記載されている点は、救いを感じます。


全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制

大阪急性期・総合医療センターがランサムウエア被害の報告書公開、実態を読み解く

ランサムウエア被害の大阪の病院、初動から全面復旧まで2カ月間の全貌


ITにおける標準化策定:機能のクラス分け
パスワードポリシー強化各種設定のいろいろ、文字数、文字種を指定
今すぐできる Windows リモートデスクトップの脆弱対策:医療機関でのランサムウェア被害からの反省で私達が学ぶもの

そのままじゃ危険だらけ:リモートデスクトップの安全対策








by islandcenter | 2023-08-21 22:41 | システム管理 | Comments(0)