top of page
検索
2022年11月16日読了時間: 5分

半田病院事件から中小企業が学ぶべき点ついて

こんにちはTSUNAGUでセキュリティコンサルをさせていただいていますコンサルタントの堀田です。よろしくおねがいします。


この度つるぎ町立半田病院から去年発生したランサムウェア事件についての報告書が公開されました。皆様つるぎ町立半田病院の名前はご存知でしょうか?


簡単に経緯をお伝えすると、徳島県つるぎ町立半田病院は令和 3 年 10 月 31 日未明、ランサムウェアと呼ばれる身代金要求型コンピュータウイルスの被害に会いました。

犯人グループに身代金を払わなければ、病院内のコンピュータに保存されていたデータをインターネットに公開する、という脅迫文章が院内のプリンターから突然印刷されました。そして院内電子カルテ8万5千人分が突然利用できなくなりました。社会インフラである病院が目に見える形で被害を受け、ニュースでも大きく報道され、社会に大きな不安を与えました。


ほぼすべての院内診療システムのデータが破壊されましたが、半田病院は紙に印刷されたデータからカルテを復旧するなどして、2ヶ月後病院を再開させました。そして今年の6月にこの事件の教訓を広く共有する為に、事件の経緯を「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書」として公表しました。


当記事では公開された報告書を元に、中小企業が対策すべきポイントをご紹介します。


このランサムウェアはLockbit2という名前で、ロシア語を話すメンバーが中心となって開発・攻撃を行っています。今までに多数の日本企業もLockbitの被害にあっています。半田病院の他に、過去に「しまむら」「オリエンタルコンサルタンツ」「鳴門山上病院」などが被害にあっています。


報告書の中で、ランサムグループの侵入経路はリモートメンテナンスの為に設置されたFortinet社製のVPN装置が原因ではないかと推定しています。


2021年にFortinetのVPNサーバに重大な脆弱性が存在している事が公表されました。同時にダークウェブでは、該当するVPNサーバを利用している組織のIPアドレスや認証情報が取引されていました。その中に半田病院のIPアドレスも存在していました。それにも関わらず、装置のアップデートや必要なセキュリティ対策など、具体的な対策を取る機会がありませんでした。


また、サーバについてもパスワードはわずか5桁であり、Windowsアップデートも更新を行わない設定になっていました。パソコンもセキュリティ対策ソフトの動作を停止してあり、アップデートすべき危険なソフトウェアを使い続けていました。


なぜ病院はこのような危険な状態を放置していたのでしょうか?その原因は報告書の中に触れられています。半田病院のネットワークと電子カルテシステムを担当した会社は2社あり、その下に複数のベンダーが数十社存在する多重下請け構造であったようです。


報告書の中では、実際の社名はふせられており、A社、B社、C社と記載されています。それぞれA社はネットワーク・インフラ・セキュリティを担当、B社は被害発生後のフォレンジックを担当、C社は電子カルテシステムを担当していました。


報告書の中ではA社・C社双方に責任範囲について認識齟齬があったようです。プロジェクトの全体統括責任者が居なかった、という状況であったことが伺えます。病院はA社・C社個別に、それぞれ個別に発注していたようです。その事で、責任の所在が不明確なまま、開発が進んでしまったようです。そのような体制の中で、セキュリティについても、お互い責任範囲外という認識であったようです。その結果、何ら具体的な対策を行わぬままシステム運用されていた状況でした。


またA社・C社の契約は都度都度であり、稼働後の保守契約がありませんでした、そのような状況下で、Windowsアップデートによる電子カルテシステムの不具合発生を極力避けるために、WindowsPCのセキュリティ機能やアップデート機能を停止する為の依頼をC社がA社に行いました。


またC社がメンテナンスの為に使用するVPN装置はA社が設置しましたが、保守契約がないため長年アップデートもされずに使用されてきました。


またA社、C社ともVPN装置の脆弱性については認識はしていたものの、VPN装置のアップデートやセキュリティ対策は責任範囲外だったとの認識でした。


ここまでの中で大きな原因を整理すると


契約

  1. プロジェクトを統括する元請けのコンサルが不在。個別にベンダーに発注してしまった。

  2. 発注側に十分なIT知識がなく、ベンダーに丸投げしてしまった。

  3. セキュリティに対する知識が発注側・ベンダー双方に無いため保守契約の必要性の認識がなく、保守契約を結んでいなかった。

  4. ベンダー側にセキュリティに対する知識と倫理観がなく、危険性を薄々わかっていたにもかかわらずクライアントに積極的な働きかけをとらなかった。


システム発注元にソフトウェアの知識や発注経験が無い場合は、ITコンサルに協力を仰ぎ、ベンダーに要望を伝えたり指示を行ったりします。


システム開発で取るべき対応

  1. ITに詳しくない発注者はITコンサル等に協力を仰ぎ、開発ベンダーと対等に話せる体制を整える。

  2. ITコンサル等の力を借りて技術力やセキュリティ知識、倫理観の高いベンダーを選定する。

  3. ベンダーとの保守契約を結ぶ。

  4. 災害やサイバー攻撃に備えてBCP対策を策定する。

などの対応を取られると良いでしょう。


以上簡単ですが、皆様のシステム開発が安全に円滑に進捗する事を願います。




bottom of page