匿名座談会 ランサムウェア事件 ~報告書からわかること~ (前編)

2023年7月20日

今回は従来のコラムと趣向を変え、昨年10月に 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センターで起きた「ランサムウェア事件」について運営委員のお二人に語っていただきました。


司会2022年10月31日に発生した大阪急性期総合医療センターのランサムウェア事件について報告書が公開されております。

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
情報セキュリティインシデント調査委員会報告書について
https://www.gh.opho.jp/important/785.html

情報セキュリティインシデント調査委員会報告書ダウンロード
https://www.gh.opho.jp/pdf/report_v01.pdf

※なお、本事件は、医療情報システムの安全管理ガイドライン6.0の発行前に発生しており、対談の中での基準も旧ガイドラインを用いています。現在はセキュリティ体制について医療法の条文があり、ガイドラインも当時とは異なっています。ご了承ください。


司会報告書をもとにして、運営委員のお二人に語っていただきます。
まずはシステムに対するお二人の立場を教えていただけますか?
Aはい。私は、情シス(情報システム管理者)、あとセキュリティですね。そちらの方を担当していまして、技術的なところというよりは、セキュリティのマネジメントの方に重きを置いています。セキュリティの分野については、どちらかというと金融の経験が多いです。よろしくお願いします。
B私はこの業界の者ですが、今は元情シス、卒情シスです。今のところセキュリティ専任で、技術的にはWEBアプリケーション脆弱性診断とか、それ以外には、内外の啓発活動なんかもしています。ということでよろしくお願いします。
全員お願いします。

司会まずは簡単にランサムウェア事件のあらましです。
2022年10月31日に起きたランサムウェア被害。取引先の給食事業者を経由して起こったサプライチェーン攻撃になります。VPN装置の脆弱性を悪用されて侵入され、システムが完全に復旧するまでおよそ二ヶ月、被害額は調査復旧費用で1億円以上とされています。まずはこの事件を受けての感想を一言ずつお聞かせください。
A自分としては、病院関係で、前にも起こったのに続いて、またかというところがあるっちゃーあるんですけれども、ただ、思ったより大きな病院だったなーって。この業界の詳しいBさんの方がわかると思うんですが、そういったところ(大きな病院)でも起こり得るんだというところと、やっぱり復旧までの時間がすごいかかったなぁーというところにちょっと衝撃を受けたっす。
Bそうですね。確かに復旧遅いねっていう話は聞くんです。で、私の方の感想はここまで大きいところで被害が出るとバックアップから復旧にするにしてもバックアップが相当な数と量になっちゃってるんだな、やっぱりっていうのが一つ。それから、損害に数億円って言ってますけど、それだけじゃなくってもう一ヶ月ほとんどお金を取れなくなっちゃってるので実際のところは、一時的とはいえ二十億、三十億の損害になって、大変だろうなというのと。地域で一番大きな病院で被害が出ちゃったのでそれだけじゃない、同じ地域にある他の病院も大変だったんじゃないかなっていうのが率直な感想です。(後補 一時的とはいえ=2022年10月~12月の診療報酬は2023年1月時点では請求できていない可能性が高く、本来、得るべき収入が途絶えている可能性が高い)
Aそうですよね〜。結局、その他の企業、営利目的とは違って、人命も扱う分野なので、システムが止まるということが、割ともう結構、地域にとって絶大な影響を与えるってことっすもんねー。
Bそうなんです。でも、その病院だけで閉じてるわけではないので、もちろんたまたま、今回、大都市だったから良かったんですけれども、近くにあるような同じ規模の病院が患者さんを引き受けられるように、すぐに調整の連絡をして、場合によっては救急車で運んでっていうのも覚悟して臨んでたっていうのを聞いてます。
Aそうっすよねー。
Bだけど、これが例えば地方で大きな病院が一個しかないとかだったら、もっと大変だったんじゃないかなって、確か徳島県の例が、そうだったんですね。(後補 半田病院は徳島県西部で唯一の分娩ができる、産科病棟がある病院)
Aなるほどっす。
司会ありがとうございます。

【事件の概要】
司会では、早速ですが
報告書13ページの図をごらんください。(全員調査報告書P13を見る)

給食事業者内のデータセンターにまず、ファイアウォールの脆弱性を突き、侵入。給食センター内のサーバAからリモートデスクトップ病院内のサーバBに侵入、そしてウイルス対策ソフトをアンインストール。その後サーバBと他のサーバのID・パスワードが共通だったため、病院内の各サーバに侵入し、ランサムウェアを仕込んだ。ランサムウェアはelbie(エルビー)というものになります。(後補 elbieはPhobosというグループが攻撃に使用するといわれている)
以上が大まかな流れになります。まずはここまでの感想をお願いします。
Aそうっすね。あの最初に自分がこの図を見て驚いたのが、その直接病院っていうわけじゃなくって、もしかしたら業界では普通かもしれないですけど、給食センターの事業所のデータセンターに(ランサムウェアが)入ってから、そこからこういく(侵入する)というところっすね。んで、そこに対しての攻撃(の情報)がまあ結果的に病院の方にすぐに連携されなかったというところもあるんですよね。その辺の情報連携とか、この後で出てくると思うんですけど、ちょっと難しそうだなぁ〜と。まずそれぐらいっす。(後補 現在のランサムウェアは暗号化が非常に早く、給食センター側が被害に気付いても、通信先への影響を防ぐのは難しかったと思われる)
Bそうですね。実は給食センターっていうのはどこの病院も同じ方式を取ってるわけじゃないんですね。
Aあー、なるほどっすね。
Bこの給食センターを使ってた他の病院もある。でも被害に遭ったのは実際はここだけ。
Aそれはどうしてっすか??
B(一箇所だけが被害にあった)っていうのが、ちょっと特徴的なのと、本当に基本的な対策の不備を突かれちゃったなっていうのもあるんです。中での拡大って、まあパスワードが共通だったとかそういうの言われてますけど、要は総当たり攻撃なんです。そこで失敗したシステムと、もともとネットワークのセグメントが切ってあったシステムなんかは無事で済んでるんです。
Aなるほど、そういう背景が。へぇ〜。
Bシステムが大きいとやっぱりそういう、見落としなんかも出てくるし。構築のときの(セキュリティ上の)配慮をきっちりしてないとやばいよねっていう点は、ちょっと見ながら顔色が青くなるっていうのは本音です。
Aそうっすよねー。他の被害、侵入を試みられた他の病院は確かパスワードを変えてたんすね。
Bそうです。パスワードが変えられていたりとか、もともとベンダーがバラバラのパスワードで組むような構築の仕方をしているケースがあって、そういうところは被害に遭わなかったのと、給食センターとの通信がずっとしっぱなしではなくって、(データをやりとりする)その時だけ送ってまた遮断してっていう運用をしてるとやっぱり被害に繋がらなかったいうのがあったんですよね。(後補 病院への侵入経路になった給食センターとの間のRDP通信は、実際には何の的も果たしていなかったとの見解もある)
A確か報告書の中には他サーバーとRDPの通信号を常時、やってたみたいな。
Bそうなんです。
A確かそういったところの、まあ、あのいろいろ報告書を読むといろいろあるんですけど、被害にあったところ同士の、望ましくない方式での通信が常時行われていたというようなことがあった、ということっすよね。
Bそうですね。
Bあとは、調査するにしても、病院は病院で、厚生労働省がガッと一気に動けるんですけど、給食事業者って厚生労働省が立ち入るのは食品衛生法の分野なんですよ(医政局じゃなくて)。システム関係に厚労省が手出せるわけではないのでやっぱり進め方としては少し齟齬が出る可能性がある。そこも結局協力をしてもらいながら進めるしかない。
Aなるほど、いやぁ〜、すごい興味深いっす。
B同じ行政の監督官庁でも、分野が違うだけでちょっと進め方が違うというところもあります。
Aですよねぇ〜。

【医療情報システムを巡る諸事情】
司会情報連携が大変そうというお話がありましたが、報告書25ページと26ページのシステム概要と管理体制の図をご覧ください。すごい数のシステム数ですよね。システム数については、この規模の病院では通常なのでしょうか?
Bこれはちょっと私の方から先に話をしましょうか。
病院のシステムっていうのは、実は病院の大きさ、病院の大きさは病床、ベッドの数で数えるんですけれども、単純にそれによるわけじゃないんですね。
A・司会へぇ〜。なるほど。
B(システムの規模を決めるのに) 何が一番重要かっていうと、診察する科、内科とか外科とか、それがいくつあるか、まずそこでその診療科ごとに特有のシステムっていうのがあって次にどんなメニュー、(どんな診療行為)をするか、レントゲンだけとか、いろんな複雑な機械を使って検査をするかによってやっぱり検査機器とか、検査データごとのシステムがひっついてくる。だからもう、いろんな診療科があって、いろんな処置、高度な医療ができるっていうほど複雑になってくる。
Aはいはいはい。
B多分、500床を超えて、急性期病院で、災害拠点病院、地域医療拠点病院もやってますって言ったらこのぐらいの規模になるのは、珍しくないことだと思います。
Aそうっすよね〜。これもまぁちょっとパッと見、本当おっしゃったとおり、一般市民から見た内科とかも外科とか整形とか診療ごとにシステムがあったり、しかもあと、レントゲン等の画像とか胃カメラの撮影動画とかそういったものでも別にあるってことですもんね。
Bそうなんです。極端な言い方をすれば、検査機器一個ずつにシステムがくっついてるみたいな感じです。
Aはいはいはい、なるほど。
B(システムの複雑さは)まあ例えて言うならばお店。大きな店舗でも、一種類の商品だけを扱っているところっていうのは、やっぱりシステムがそんなに入り組まない、複雑じゃない。
Aふむふむ。
B小さいけれども、もうありとあらゆるものを扱っていて、専門店も入っているモールや百貨店みたいな構成だと全体としては複雑になってしまう、そういう感じです。
A百貨店とか結局はいろんなテナントがあっても、テナント毎に使ってるけど、ただそれを全体で一つとして見れば、いわゆるPOSシステム、というふうに集約されちゃいますけど(事実、同じシステムを使ってたりすることもあります)、医療の場合はもうそれ(診療科)ごとにそもそも違うっていう話ですもんねぇ〜。
B検査機器でもたとえば、レントゲン装置が二つあって同じシステムでいいのかと思ったら、撮影方法が違っていて、別々のシステムがあったりとかっていう風になっちゃうんです。
Aそうですよね。一般人、自分も含めてそうなんですけど、一般の方の感覚っておそらくこの図で言うと多分、電子カルテはよく聞くからそういうもんがあるんだなっていうふうには当然思ったりはするんすよ。あとはその電子カルテを使うためのパソコンとかは、診察受けてる側の患者としても見えるから、それが多分イメージがつきやすいっすね。けど、それ以外の、このびっしりとしたこの病院独自のシステムっていうのは、なかなかこれは、今回のような事件がないと、お目にかかることなかったのかなというふうには思っすね。
B一部の病院は、システム構成を公開してるんですけれども、なかなかでも、公開していても一般の方って見ないですよね(苦笑)。
Aいや、見ないです。正直見ないっすね。
B正直いって、病院で画面見てても、もう自分の肋骨写ってる、頭蓋骨写ってるねっていうふうに、やっぱり患者さん側から、人(患者ID)と結びつけた結果としてまとめたものが見えるので、裏にいろんなマシンが動いてるイメージとは、結びつきにくいと思います。
A質問変えちゃいますけど、そのまあそのシステム概要の管理体制図の方で、やっぱりこの台数だとかっていうのも、出てますけどさすがに多いっす。 端末でも2000台ぐらい、プリンターが400台ぐらいって多分業界特有なんじゃないかなと思うんですけど、実際そうっすか?
Bそうですね。
特にプリンターは急性期の病院の方が多くなっちゃうんですね。
病院って、人のゾーニングが結構厳しくて、ここの病棟で通常の業務中はどこどこの病棟には入れないとか、そういうのがあって、毎回、ワンフロア下まで印刷したの取りに行くとかができないんです。最短の動線でやっぱり処理を済ませないといけない。(後補 2020年以降は特に、動線管理が厳しくなった病院も多かった)

あとはやっぱり怖いのが、仮に、あちこちから(印刷物が)出るようになってて、印刷したものが他の書類と混ざっちゃうっていうケース。入り込むのも怖いし、出てきたのがないのも怖い。だから、最短距離でやっぱりやりたくなるし、端末もまあ、ナースステーションに最低限一台ずつ。
司会・Aそうっすよね。確かに。
B検査機器に一台ずつついてて、検査室にいくつかやっぱりあって、ドクターのところに一台ずつあってっていうのが、医療系(HIS)でつながっているのがあって、それ以外にもいわゆる普通のオフィスもあるような情報系っていうのもある、場所によっては患者さんが見てもいいような端末なんかもあって、いろんな役割の端末が混在しているような状態になってたりもします。
Aなるほど。
B工場なんかもやっぱり生産系と情報系分かれてたりするんですけど、工場で生産系って、一般の方は見ないですよね。だから、医療系の端末が患者さん(一般の方)の目の前まできている、患者さんと医療者の接点に端末があるという点も、やっぱりちょっと、他の組織とは違うかなと。
Aうんうん。いやー、多分、企業のオフィスでプリンターが400台ってえのは想像できないじゃないですか。
司会想像できないですね。
A多分フロアに一個あるかないかぐらいの世界ですよね。
Bちなみにこのelbie(エルビー)っていうランサムウェアはそうではなかったんですけど、Lockbitだとプリンター一台につき9999枚印刷するっていうタイプのがあるんですよ。
Aあっ、そうみたいっすね。なんかもう延々と出力し続けるってありますね。
Bあれ、枚数計算して、紙代計算した時に、一瞬、私、めまいがしました。
Aあとはこれ、マネジメント体制とか見たときでもやっぱりちょっとこの規模とか、あと職責だとかっていうことを考えたときに、なかなか、この少ない人数でよくやってるなーというのが率直な感想で。まあ、ベンダーさんもいらっしゃるんでしょうけど、結構大変そうだなっていうふうに思ったすね〜。
Bそうですね。実は病院は、変わってる組織で、医療体制によって絶対置かなきゃいけない人っていうのが決められちゃってるんですね。
Aほぇ〜、なるほど。
B産婦人科を標榜するのに、看板かけることを標榜するって言うんですけど、産婦人科医がいませんというわけにはいかない、そういうふうに決まってるけれども、なぜかシステム部門の人員ってそういう細かなルールが今までなかったんです。(後補 令和4年の診療報酬改訂では、専任の医療情報システム安全管理者を置けば、収入面でのプラスはあるが、明確に人材のITスキル等の定義はされていない)
例えば人事とか財務とかその辺は、絶対的に毎日に出てくるのでやらなきゃいけないっていうのもあるんですけど、なんか空白になってたというのと、やはりあのベンダー依存っていうのは前々から言われています。
Aああー。なるほど。
B本当にね、常駐と変わらないような時もありますからね。
Aまあ、ただ、この体制でこの規模感だったら頼らざるを得ないっす。 うまく頼れるかどうかっていうのが、また今回もある意味、課題でもあったんでしょうけど。
B頼らざるを得ないっていうか、正直あまりにも種類とか用途の差が大きすぎて一般的なITの知識だけで追いつかないっていうのも現状なんですね。
Aそうですよねぇ〜。これはちょっと、なかなか自分も踏み込みたいかどうかってきかれたら、なかなか厳しいかなっていうところが正直なところっすね。

(対談の進行を)自分たちでどんどん進んじゃったんですけど、今回の件では、セキュリティって言った時に自分がピンとまず来たのが、やっぱりこう割と古めの対策が多かったのかなっていうのがちょっと正直あったり。

特にUSB(メモリ)とかにフォーカスされてて、まぁ確か、ポートに封を(使わせないための対策として)貼るなりとか、若干古めの感じがすごいしたんすよね。確かにこの報告書を見たときに直近のセキュリティ対策とかファームウェアの更新とかも何か考えたらもう二年近くやってなかったとか。

その当時からやってないことになっちゃうので、もうちょっとなんかこう最新鋭のっていうふうには思ってたんですけど、まぁ多分うーんっていう話。
Bそうですね。あのUSBメモリっていうのは、実はまあ、恥ずかしながらまだまだ医療機関の中では、それの紛失とか無断持ち出しとかっていうのが結構、問題になってるようなところがあったりするんですね。あと、ファームウェアについては、更新できるところはしてるっていうのが実際なんです。けれども、自分たちで手を入れられない、法的に入れちゃいけない部分っていうのは、例えば検査機器にくっついている管理マシンとかあの辺はもうOSとかのヴァージョン、アプリとか全部込みで認証を取ってるので、いじってしまうと認証が無効になっちゃう。
そうならないためには、メーカー側に送ってメーカー側でやってもらうか、メーカーの人が来てもらうか、下手したら買い換えちゃうかになってしまうっていうのもあるんです。

あと電子カルテも大手のところとか。一般的な病院向けというのは、正直、大手のベンダーが出してるので結構更新できるんですけれど、無理なんだって言ったら変な言いかたですけど、製品によっては、あんまり更新版が出てこないで、新しいOSとか基盤に対応しきれてないっていうこともあるんです。

じゃあ大手のを入れたらいいのかっていうと、そうするとやっぱり加算とか点数の問題とかがあって現実的じゃないので、どうしても古いまま残って、手直しで対応する部分が出て。あと、案外、閉域網じゃないってことは病院も実はわかってるので。
Aなんかそうですよね。今回結構報告書の中には、いわゆる閉域網の神話みたいなものがあって、「閉域は安全だ」みたいなところに触れてたところもあったんですけど、実際、(病院の)中で働かれてる方にしたら、もはやそういう閉域っていう意識はあんまりなかったっていうことなんです??
Bそうです。もう、だってメンテナンスにベンダーさんが来てる時点で閉域じゃないっていうか、そのリモートでメンテナンスしてもらってる時点で、繋がってるのは丸わかりなんですよね。

あとは地域とかによって入ってるとか入ってないとかあるけれども、地域の連携の医療システムに接続するってなったら、間にいろいろ挟んだとしても、繋がっていることはやっぱり繋がっているので完全にクローズっていうのは本当に小さなクリニックとかでプリンターとしか(USBケーブルでしか)繋がってませんよっていうのでない限りありえない。
Aそうっすね。
B自分たちもやっぱり認識してますね。
Aですね。一頃の昔だったら、本当になんか物理的に割と結構閉じててっていうのはあったんでしょうけど、今はちょっと難しいっすね。金融とかでも、もう今もおっしゃったように、メンテナンスも当然外から入ってくるようなものもありますし、結局その中にあるデータを外に持って、結局持ち出さなきゃいけないんで、どこかしらと外部とつながってるっすから。
全員うんうんうん。
Bそうです。でも、物理的に持ち出すよりは、やはりネットワーク経由の方がロスト(紛失、盗難等)の確率は低くなるんです、確実に
Aはいはいはい。確かに。
B正直、USBメモリとか、CD-ROMで持ち出す方がよっぽどなくなる可能性が高い。人の過失とか悪意って案外、心がけとか教育だけでは防げないんですよね。
Aそうですね。
B悪意を教育で止めれるっていうのは正直、もう、童話の世界なので。
Aですよね。いまだにセキュリティの事故のやっぱり多い部分ってそういうところですもんね。はっきり言って、件数で言えば。
Bところで、ちょっと技術的な話題に戻しましょうか。
Aそうですね、よろしく〜っす。

後半へつづく...

© PC・ネットワークの管理・活用を考える会