院内の各端末について、パスワードの最小桁数が5桁であったこと、管理者アカウントの名称が初期設定である「Administrator」から変更されていなかったことなど、パスワードの総当たり攻撃に対して脆弱な状況となっていたようです。また、ユーザーはすべて「Administrators」グループに所属していることから、複数端末・サーバーへの水平展開は非常に容易な状況となっておりました。脆弱性への対策に加え、認証を複雑にすることや、認可設定を厳格化することで、水平展開試行中に異常に気付き対処するなど、影響範囲を狭めることに繋げられたと考えられます。

半田病院ではバックアップシステムが構成されていたものの、攻撃に伴いバックアップデータが削除され、復旧困難に陥りました。バックアップシステムは常時ネットワークに接続されていたため、侵入後の水平展開によりバックアップシステムへの攻撃およびデータの削除が行われたものと考えられます。運用環境のネットワーク外にバックアップデータを保管することも、暗号化対策および復旧手段として用意が必要と考えられます。

本事案において、VPN機器に重大な脆弱性があると認識していながら対策が行われなかった点が注目されていますが、内部システムや端末においても、十分な脆弱性管理が行われていなかったことが判明しています。アップデートによる医療系システムの動作不安定となるリスクを回避することが理由とされていますが、一般企業においても同様のリスクは存在すると考えられます。一般企業と同様、脆弱性情報の定期的な収集およびリカバリープランを伴うパッチ適用、動作確認などにより、システムの安定動作を確保しつつセキュリティ向上を行うことができると考えられます。

• セキュリティ規程・ルールの見直し
• インシデント対応体制、考え方

などの抜本的なルール対策が必要になってくると考えています。

半田病院は小規模な病院であり、セキュリティに対するコストをかけることは困難な状況でした。一般的な企業と同様、情報システム／IT管理は経営状況悪化の影響を受け、人員確保が困難となっています。限られた人員／時間の中で、担当者は忙しさから「閉じたネットワークなので安全」という先入観を持ちやすくなり、最新脅威の把握不足やセキュリティ設定不備などを発生させてしまいます。信頼できるシステム開発者や製品ベンダーへの作業委託検討に加え、セキュリティ情報の入手担当を別部門と協力し行う、セキュリティに関するコミュニティへの参加による情報交換を行うなども、人員不足を補う対策に繋がるものと考えられます。

半田病院には、事業継続やセキュリティのためのマネジメントシステムが存在しておらず、経営層によるレビューを踏まえた運用改善やシステムの見直しが行われない状況となっていました。サイバー攻撃を受けることは、業務停止や復旧費用の発生など、経営リスクにもつながる課題となっています。セキュリティ対応はシステム担当者のみで行うものではなく、経営層が積極的に関与し、かつ組織全体で推進していく必要があります。マネジメントシステムの構築・運用により、セキュリティ不備の是正だけでなく、組織全体の継続的なセキュリティ強化による対策が行えると考えられます。

• セキュリティコントロール力の向上
• ベンダー選定、ベンダーコントロール力の向上

などの抜本的なリソース対策が必要になってくると考えています。