第47回 サイバー攻撃被害事例報告書を読んで ~閉域網の神話とは?~

先月末に、昨年サイバー攻撃を受け、甚大な被害を受けた大阪急性期・総合医療センターの詳細な報告が行われました。一言で言えば、一昨年の徳島県つるぎ町立半田病院の教訓が全く生かされていなかったということです。半田病院の原因は閉域網という名のもとに、病院内のセキュリティ対策がほとんど皆無であり、ネットワークや電子カルテ、そして医療機器の運用に当ったベンダー側に完全に依存し、ベンダー側が必要十分な対策を怠った、そしてその事実を病院側が見過ごしたという点です。閉域網とは、自ネットワークがインターネットに接続していないことから、外部から不正アクセスを受けることはないという神話です。確かにインターネットと完全に遮断されている場合は、内部からの不正アクセスがない限り、不正アクセス、つまりサイバー攻撃を受けることはあり得ません。しかし実際にはインターネット、つまり外部と完全に遮断されることはないのです。半田病院の場合もベンダーからは半田病院のネットワークはインターネットに接続していないと説明を受けてましたが、実際はリモートで、会計システム、電子カルテを含む各種医療機器、サービスの保守運用を行うために、VPNという装置を介して、インターネットに接続されていました。ベンダー側がインターネットに接続していないと主張していた理由は、このVPNが関門となって運用を担当しているベンダー以外は接続できないとの仮定です。このVPNという装置自体が正常に機能し、かつVPNの運用に関しても正しいことが保証されればその限りではありません。しかし実際にはVPNも、すべてのネットワーク機器、そしてソフトウェア同様、脆弱性があり得るのです。また脆弱性がなくとも、運用が正しくなくては、たとえば単純なパスワードでアクセス制限を行った場合、容易にVPNにアクセス、つまり乗っ取られて悪用されるのです。仮にインターネット等、外部からのアクセスを物理的に遮断できたとしても、人やモノ(パソコンやUSB等の規則装置)を介して、外部と接続できるのが常です。つまり外部と完全に遮断することはほぼ不可能であり、閉域網が神話と言われる由縁です。

大阪急性期・総合医療センターの場合も、その報告書によると、不正アクセス被害の原因は閉域網という前提の上でのセキュリティ対策でした。つまりセンター内部のネットワークはサイバー攻撃を受けることはないという前提でほとんどセキュリティ対策を行っていなかったのです。しかし半田病院のようにVPNの脆弱性ではなく、簡単に外部から侵入、つまり不正アクセスを受け、最終的には電子カルテを含む多くのサーバ、そしてそのサーバを利用するための数多くのパソコンがランサムウェアをはじめとして、マルウェアに感染し、不正アクセスを受けていました。具体的には、病院内の患者それぞれの食事を担当する外部の給食センターと、患者の食事データを授受するために相互にネットワークが接続されていました。その間にはRDP(リモートデスクトッププロトコル)と呼ばれる方法で接続しており、これが正しく運用されていなかったために、給食センターから容易に不正アクセスが行われたのです。つまり給食センターがサイバー攻撃の餌食となり、給食センターを踏み台して簡単にRDPを越えて侵入を許したわけです。このRDPですが、正しい運用を行っていれば、たとえ接続している給食センターが踏み台になったとしても不正アクセスを受けることはなかったでしょう。たとえば、パスワードを推測できない難しい、つまり複雑なパスワードとし、指定された時間しか運用せず、さらにはアカウントロックアウトと呼ばれる、パスワード入力失敗の回数制限を行う等の対策です。大阪急性期・総合医療センターの場合は、この一つも成されておらず、パスワードの辞書攻撃と呼ばれる、可能性のあるパスワードを何回も試すという方法で、パスワードが破られ、侵入を許したわけです。

RDPへの不正アクセスが成功しただけでは大きな被害を受けることはありません。しかしここで閉域網の神話が大きな被害を導いたのです。外部から侵入されることはないという仮定が、ネットワーク内部のセキュリティ対策を疎かにし、大きな被害を受けました。ネットワーク内部のサーバやパソコンのログインIDとパスワードが同一であったため、一台のパソコンの不正アクセスが成功すれば、すべてのサーバやパソコンにアクセスできたのです。しかもすべてのユーザに管理者権限を与えていたために、容易にログを書き換えたり、ウイルス対策ソフトを無効にすることができました。大雑把に言えば、重要な電子カルテシステムもネットワークに侵入さえできれば、自由に扱うことが出来、今回の場合はランサムウェアによって電子カルテデータが暗号化されてしまったのです。

では、どうすればよかったのでしょうか。特に今後どのようにすれば不正アクセス対策として十分と言えるでしょうか。さらには大阪急性期・総合医療センターのような比較的大規模な組織ではなく、対策費用や人員が極端に限られている病院、そして当然ですがサイバー攻撃の対象は病院に限らず、中小企業、零細企業におよび、その対策は必須です。どのようにすれば良いのでしょうか。次回以降に、その現実的な対策について述べることとします。