2023年8月10日
- トップページ
- 情シスのHonne!
- 匿名座談会 ランサムウェア事件 ~報告書からわかること~ (後編)
匿名座談会 ランサムウェア事件 ~報告書からわかること~ (後編)
前回は従来のコラムと趣向を変え、昨年10月に起きた「ランサムウェア事件」について運営委員のお二人に語っていただきました。今回はその後編です。
| 司会 | 2022年10月31日に発生した大阪急性期総合医療センターのランサムウェア事件について報告書が公開されております。 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書について https://www.gh.opho.jp/important/785.html 情報セキュリティインシデント調査委員会報告書ダウンロード https://www.gh.opho.jp/pdf/report_v01.pdf ※なお、本事件は、医療情報システムの安全管理ガイドライン6.0の発行前に発生しており、対談の中での基準も旧ガイドラインを用いています。現在はセキュリティ体制について医療法の条文があり、ガイドラインも当時とは異なっています。ご了承ください。 その報告書について、運営委員の2人に対談していただきました。今回はその後半となります。Aさんは一般的な情シス・情セキの方、Bさんは業界の情セキの方です。 |
|---|
【復旧への長い道のり、二ヶ月かかった?二ヶ月かけた?】
| 司会 | では、ランサムウェア事件の中で技術的な話を聞いておきたいと思います。しかし、内容が非常に膨大なので一つずつ議題して話していただきましょう。まずはAさんからお願いします。 |
|---|---|
| A | はい、そうですねあの、まあいろいろあるんですけど、自分の中で触れたいのはやっぱりそのパスワードで特に今回のビルトインのアドミニストレーターのパスワードをそのまま使っていたというのがありますね。 自分の場合、前職では金融にいたんで、特にクレジット業界にいたんでPCIDSS(Payment Card Industry Data Security Standard:カード会員情報の保護を目的としたもの)ってセキュリティの規格があるんですよねー。それで、その規格の中では明文化されていて、いわゆるそのデフォルトのユーザーだとかパスワードっていうのは使うなっていうふう決められてるんですね。 なので、例えばWindowsだったらここに書いてるビルトインアドミニストレーターみたいなものは最初からもう使えない無効にしようというのが鉄則で。パスワードも、例えば、あの有名なネットワーク機器のメーカーだとかというと、パスワードがそもそも決まっている、デフォルトパスワードが決まっている場合が全然あるんすよ。それは使っちゃダメなんで変えてください、というのがあって。なので、変えます、というところがその業界にはあるので。 意外とそれが今回あって、しかも共通(パスワード)使っているところもあったんですけれども、あのそういったところが、外から見た感じでいうと、ちょっとなにか十分じゃなかったのかなっていうふうには思ってたり。 (後補 一般職員は、PCのログイン用に1人1枚のカードによる認証を指示されていたが、実際のところ、カードに登録されていたパスワードは共通のものだったともいわれている)あと、報告書の最後の問題点で、「この業界でも当然ガイドラインあります。」 とあるんですけど、確か、この実践がなかなか難しいよねというところを指摘されているところがあったかと。その「こうしなさいよ!」みたいなガイドラインもあるんだけれども、それを本当に情シス、医療業界の情シスがやるっていうのはやっぱり難しいもんすか?? |
| B | そうですね。あのまぁちょっといろいろ出てきちゃったので、一個ずつちょっとほぐしていますけれども。 ガイドラインっていうのは構築した時のガイドラインで基本的にシステムを作っていくじゃないですか。まず古いガイドラインってアドミニストレーターのアカウントのところとか、そういうのってあんまり扱ってないんですよ、(後補 初期設定のパスワードの変更が重要であるとは記載されているが、禁止という文言ではない。医療サイドの言い回しとIT分野の言い回しの違いが設定不備につながる可能性も否定できない)どちらかというとネットワーク構成の方を非常に重視してて、ネットワーク分離とか。 |
| A | なるほど。 |
| B | あとは持ち出し制御とか、アクセス権のコントロールっていうのを非常に厳しく言ってたっていう部分があります。そうすると、そこで一応合わせて構築する。ビルトインアドミニストレーターは、確かに、変更が重要であるという書き方。禁止とはいっていない。(後補 ガイドラインの文言については、業種ごとに言い回しが変わる) 実際上、例えばデータ連携を、画像連携用のシステムとかそういうのを噛ませた時に権限の問題で動かなかったりすることがある。そうすると、どっちを取るかっていう判断を、結局病院側が迫られちゃうんですよね。で、結局そうなった時にやはり判断が分かれてしまうんだっていうところがあります。 実際難しいっていうのは、心がけとかそういう部分ではなくって、まあ全部一斉に更新しているシステムではないっていうのが前提にあって、いろんなシステムを同じ水準で動かそうと思うと、ガイドラインのままにしてると、正常に動作しなかったり、やっぱり診療自体に支障が出てしまう、それもやっぱり今度は医療継続っていう観点からすると望ましくない。システム間の連携がうまくいかないと、事故とかそういうのを起こしかねないので、それも避けたいっていうところなんですね。 |
| A | なるほど。あとはなんかあれっすかね、 確かさっき言った、その業界のやっぱり審査、受けたみたいな、例えばパッケージの中の設定はもうこれより変えない、みたいなところもあったりするんすか? |
| B | 電子カルテとかはないです。(後補 型式認証に管理端末の仕様が含まれるのは、検査機器や医療機器のほう) |
| A | あ。なるほど。 |
| B | ただし、端末だけでみれば、割にあの、大丈夫なんですけどただ、ソフトウェアの動作になると結構バグじゃないけれども、アップデート一個で落ちちゃったりっていうのはあるんですね。(停電とか、クラッシュとか)何かきっかけがあって落ちたっていうのなら仕方がないっていうか、仕方がなくはないけれども、なんとかするしかないっていう部分もあるんですけれども。アップデートとか、選択可能なものの結果として、日常的な操作として何回も繰り返すわけにはいかないんですよ。 (アップデートは) 検証も必要だし、もともと規模が大きいシステムなので、仮環境も作りにくい。そうすると、テストも情シスだけでテストしてっていうのは難しくなってやっぱりメーカーさんなんかはテスト環境を持っているので、そこで検証した結果を受け取らないといけないっていう風になっちゃってます。 |
| A | なるほど。ありがとうっす。 司会にお返ししまーす。 |
| B | 1パターンでの話が長くなりましたね。 事業の再開に向けてそうですね。だいたい何が起こったかっていうのはまとまってきたので、今度は、起こったことをクローズさせるってことにしてちょっとあの質問を交えてお話ししていってまとめにしましょうか。 |
| 司会 | (システムの)全面復旧までにおよそ二ヶ月、その経緯を見ていきます。 初動については、以下のようなことをしています。 ・侵入経路の特定(侵入端緒の特定と、病院ネットワークのルーティング、アクセス権の把握) ・被害範囲の特定(暗号化、破壊の範囲及びVPN、バックドアの設置の状況の把握) ・今回の攻撃の特徴及び攻撃を可能とした要因の特定 ・バックアップデータの確認 ・システム復旧方針の策定(P40) ※システム系の設定方針(P41) ★通報連絡先 大阪府立病院機構本部 大阪府健康医療部 大阪府住吉警察署 内閣サイバーセキュリティセンター(NISC) 厚生労働省医政局 大阪市保健所 ★調査実績 外部接続ルートの調査 Active Directory Domain Controller の調査 給食サーバの調査 病院設置のファイアウォール(ファイアウォールY) 病院の部門・診療科システムベンダーが設置したファイアウォール(VPN 機器)の調査 フォレンジック調査 他医療機関の調査(ほかは無事だった) 他の部門ベンダーや医療機器ベンダーの調査 これを受けてどう感じますでしょうか? |
| A | まあ、そうっすね。あの経緯を読み上げていただいただけで、非常にわかるっすけど、大変だったんだろうなというか大変だったというふうに。もし自分が当事者だったら・・・。 で、やっぱり自分もいろいろシステム障害は経験してきたんですけども。ランサムエアの障害というか、事件っていうことに関して言うと、一番大変なのは、無いことの証明がやっぱりできないというところが一番の厳しいところかな〜って。なので、結局、復旧にあたっては一回潰して、で、まっさらな状態でやるというのがもう一番安全っていうか。まぁそれしかないんだろうなというところ。プラス最初の方でも触れて、やっぱり台数が多いというところがあるんで、いやーここはもうそれから考える、大変・・・大変だというところの一言だと。 で、ただあの一般のSEとか情シスからするとやっぱ面白い、面白いというかちょっと不謹慎ですが、興味深いなと思ったのはやっぱり厚労省から、専門家が来ると、派遣されてくる、というのがちょっとあの他の業界ではなかなかないのかな、とちょっと思ったんですよね。 |
| B | そうですね。あの厚労省がシステム系の専門チームを積極的に派遣したってのは、実は今回が初めてなんですね。(後補 これまでのケースは病院側から調査会社に調査を依頼しているか、初動の調査は警察が担当している) 半田病院の時は、例えば専門の支援のチームっていうのはあったんですけど、これは県が送っていてどちらかといえば、ロジの支援ですね。 あと復旧作業の代わりができる部分とかの代わりだったりとか、協力といった場面が中心になってるんです。(後補 つるぎ町立半田病院の事例では、徳島県の担当者と病院担当者がPCのスキャンに当たる様子が公開された) |
| A | なるへそ。 |
| B | でも今回最初にかなり調査とかそういうのにまあかけて時間をかけてるんですけれども、なんでかっていうと、止めるしかない業務、例えば外来とか、救急搬送とかを引き受けてくれるところがあるかどうか次第でもあるんです。 それがなかったら正直もう調査の結果を待たずに、いちかばちかの仮復旧をして、もう診療を早く動かすこと考えないといけない。でもある程度も専門家チームを入れて最短で調査をして、即復旧計画を立てましょうっていうことでやっていけた。 |
| A | なるほど。 |
| B | それでやっぱりすごく広い範囲での調査っていうのが行われてるんですよね。 |
| A | はいはいはい。 |
| B | まあ二ヶ月っていうのは長いって思われるかもしれないですけれども、実はバックアップから戻すにしてもかなりの量、一ヶ月あたりの新しい患者さんってこのぐらい病院だったら2000人とか3000人になりかねないんですね。前にそのデータをずっと積み上げてるっていう前提で、バックアップから戻すにしても、量にしても、入れる先にしても、ものすごいことになってしまって。 |
| A | いやー、そうっすよね。 |
| B | (復旧に)同じ端末を使えるかどうかもわからない。入れ替えないといけないし、復旧の時に壊れちゃうかもしれないっていうのを見越して所要時間や必要な日数を積んで割り出していくとやっぱりちょっと難しくなってしまったかな。 でもまあ二ヶ月、もしそうなったとしても、代わりに引き受けてくれるところとか、紙カルテで対応できる業務の範囲を先に手配できてるので、やっぱりきちっと戻すことを選んでいって最低限、入院患者さんを守りながらそこでしか引き受けられないことを引き受けながらやっていったっていうことで。(後補 災害時の医療では、現に存在する入院患者を守ることが最優先とされており、今回も、それが準用された) この二ヶ月も、ただただ延びた二ヶ月ではなくって、計画的な二ヶ月なんですね、二ヶ月かけて戻しましょうって結構早く宣言してますので。 |
| A | そこはなんか素晴らしいなっていう気はします!! |
| 司会 | なるほど、ありがとうございます。 |
| A/B | はい。 |
| B | そうですね。システムの中のことっていうのを、まあいろいろ言っちゃったんで、まあ、あと言えるとしたらここからお互い何を学ぶかってことなんだって思ったりします。 |
| A | では司会に戻します。 |
【セキュリティ人材@医療機関】
| 司会 | 今回のランサムウェア事件は給食事業者を経由したサプライチェーン攻撃で、給食事業者というところに興味深さを感じました。業界特有かもしれないと思ったことを教えていただければと思います。 Aさんからお願いします。 |
|---|---|
| A | そうっすね。やっぱり、まあ何度も話していたけど閉域網っていうところがちょっと特有だったのかなぁ〜。ただ閉域網って言ってももう他社とつながっているところが、給食事業者のデータセンターとつながっているところがある種、閉域っていっただけで、実際その外側はもう普通にインターネットに繋がっているというところが、そこはちょっと認識不足だったのかな〜って。 調査報告書よく読むと、古いOS、多分端末だと思うんですけども割と多くて。 ただそれが多分、さっきBさんが言ったように、業界特有、そのパッケージだとか、なんかそういったもう多分しがらみ等があって、なかなかそのOSから、まあ多分、変えられないんだろうなっていうのはちょっと思ったところっす。 |
| B | そうですね。その辺はもうおっしゃる通りで、ちょっと私の方は最後締めくくりも兼ねてあのセキュリティ人材を置けるか置けないかっていう話をしておきたいとおもいます。 |
| A | セキュリティ人材については、報告書にも書かれてますね。 |
| B | さっき人員配置のことを言っちゃったんですけれども、あの医療機関って、セキュリティ人材をおけるっていう枠組みでまず人員配置とか、収支の部分を設計してないんですね。 |
| A | はいはいはい。 |
| B | 制度自体が医療職と最低限の運用の範囲でもう、全部閉じちゃうような形になって、でもセキュリティ人材をおこうっていうと、その分の費用を、もともと違うところに出す予定のところから出さないといけない、まさに捻りださないといけなくなっちゃう。 でも病院って、営利目的の事業って、やっぱりできる部分、できない部分が結構制限されているので、セキュリティ対策とその人材にバンバンお金かけられるかっていうとそうじゃない。で、どういう人が適任かっていうのも新しいガイドラインでこういうポジションを置けって言ってるんだけれども、結構現実的じゃなくって、専任の人でなおかつ決断に責任伴うっていうと、責任伴うっていう時点でドクターでなければっていうのがあるんですよね。そうすると、ドクターをセキュリティの専任で一人置けるのかっていうとやっぱそうじゃない。 でもそれが結びつくのがマイナスではなくて、加算分のお金が入るかどうかにつながってしまうので、もうそこの加算諦めても違うところで加算とってなんとか頑張りましょうよっていう病院が出ちゃうんですよね。(後補 この発言はセキュリティ対策を否定しているのではなく、ガイドラインとは別の方法での対策を考えざるを得ない病院の存在に言及している。最新のガイドラインでは医療法14条に基づいてサイバーセキュリティへの取り組みが求められており、ガイドラインの実効性も変化している) |
| A | なるほど。 |
| B | だから。まあ自分なんかもやっぱり、そんな同じようなことをしている人に出会えないってことも、そこに繋がってると思います。 |
| A | なるほど。あの、確か報告書の方でセキュリティにしろ、サーバにしろ、ネットワークや、テクノロジーの方でもお金かけれるんだったら、かければいいんだけど、結局それってじゃあその費用をどこで捻出するんだっていう話がやっぱりあって。 セキュリティー人材だとじゃあ置きますって言っても、やっぱお金かかりますと。ただ実際は、多分、各病院でやるんじゃなくて、理想なのは、その地域の広域で、セキュリティ人材をシェアするみたいなことを検討したらどうだ、みたいなことが、確か書かれてたような気がしますね。 実際本当はそうしていった方がいいんじゃないかっていうふうにちょっとこの事件で思って、特に病院なんかはそうしたほうがいいんじゃないかっていうのを強く思ったんすよ。 |
| B | そうですね。もともと病院って結構横のつながりがあったりして、表だって助け合う組織っていうのはなくっても、例えば責任者同士が知り合いだったりとか、それこそ大学の同期だったんだよとかっていうので、助け合ったりっていうのは実際にあるんですね。 半田病院の先生なんかも、近くで被害にあった病院の先生がたまたま同期だったので様子をお伺いしたりとか、こうしたらいいよみたいな話をして、後から被害にあった方はそれほど大きな影響なく済んだっていうのがあったんですね。 だから、そういうところを、(業界の団体が支援するなりして)もうちょっとうまく機能させればいいのかなって思います。 やっぱりシステムはクローズにしても人としてクローズにしないっていうのが大事だし、こういうPCNWとか、そういうところに出たりして、いろんな考え方に触れたりちょっとした知恵をもらって帰って、ここで役立つよねって言える環境も大事だなって思います。 なんか綺麗にまとまっちゃいましたね。 |
| A | そうですね。まとまったっすね。笑 自分も、他業界から見たところだったので、やっぱり専門家に、実際のことを聞けて非常に良かったと思うっす。 |
| B | ありがとうございます。 |
| 司会 | ありがとうございました。 |
| B | ということであの、とりあえず綺麗にオチもつきましたので、対談クローズということにいたしましょう。 |
| 一同 | そうですね。ありがとうございました。 |
完
