ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置 「Active Directory」のパスは5桁

1 : 神 ★2022/06/16(木) 11:40:56 ID: oazDXNZD9.net
ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
島津 忠承 日経クロステック/日経NETWORK
2022.06.13

 調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。

脆弱性を放置、認証情報の流出にも気づかず

 調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。

 調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。

 さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。

 根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。

パスワードは最短5桁、マルウエア対策ソフトも停止

 脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
6 : ニューノーマルの名無しさん2022/06/16(木) 11:43:19 ID: wXzu5qmY0.net
リスト公開じゃなく、連絡しよよ
7 : ニューノーマルの名無しさん2022/06/16(木) 11:43:34 ID: cjhqn1jO0.net
ヨシ!
15 : ニューノーマルの名無しさん2022/06/16(木) 11:46:29 ID: gVrLdAuG0.net
FortiGate 60E脆弱性放置
VPN認証情報流出
Active Directoryパスワード5桁
ロックアウトなし
マルウエア対策ソフトなし
WindowsUpdate無効
WindowsパーソナルFW無効
Windows7
ActiveX・Silverlight有効
ID: Tq7vZNcQ0.net
>>15
これの調査報告書はここで読める
16 : ニューノーマルの名無しさん2022/06/16(木) 11:46:41 ID: y3ab7Pbt0.net
ああ、病院特有の、すべての責任を出入り業者に押し付ける流れか
これほんと気分悪いな
ID: MzsgY/wg0.net
>>16
患者には自分で調べてー!次の方どうぞー!といつもほざいてる癖に周りには最悪な態度取る連中ばっかだよな
ID: /RV+oNFa0.net
>>16
この手のものは、それらこみの高い値段でやりとりされているわけで、
設置のA社、カルテシステムなどを統括してたC社なら業者の責任がないというのは無理だろ
すくなくとも、この二社は、病院側に危険を説明して危険をなんども伝えていたとかなら別だけども、どうなの?
18 : ニューノーマルの名無しさん2022/06/16(木) 11:47:01 ID: RGEpE00U0.net
病院ってIT部門あるの?
セキュリティとか無いようなもんだろ
ID: HP7Q91w20.net
>>18
あるとこはある
ただ、無いとこの方が多い
32 : ニューノーマルの名無しさん2022/06/16(木) 11:53:06 ID: mxxy1MLp0.net
>>28
専用線だとコストが掛かるから、偉い人が嫌がったんじゃないかな
39 : ニューノーマルの名無しさん2022/06/16(木) 11:57:54 ID: 29KybMzw0.net
handaで5桁か
ID: xMWLJUNS0.net
>>39
www
52 : ニューノーマルの名無しさん2022/06/16(木) 12:02:11 ID: GL5186uX0.net
サーバーのアップデート無効指示したのは、システム納入したソフト会社では?
問題起こらないようにってよくあるぞ

滞りない運営>>糞アップデートでシステム停止
ID: F9oCWTie0.net
>>52
VPNだけで閉じた外部接続しないネットワークなんじゃね?
本来は定期的に手動でアップデートすべき案件
53 : ニューノーマルの名無しさん2022/06/16(木) 12:02:49 ID: 6U2RltpC0.net
専用のセキュリティ担当置けないなら共用のセキュリティサービスで商売できそうかな?
54 : ニューノーマルの名無しさん2022/06/16(木) 12:05:05 ID: JdJlmj4l0.net
ヨシ!
76 : ニューノーマルの名無しさん2022/06/16(木) 12:18:03 ID: H38i5aOO0.net
>>43
死亡事故起きてるリコールレベルで話題になったので、普通は業者から連絡いれてるはず
それを蹴ってるなら病院側の責でしょ
ID: 99LB7Rq00.net
>>76
システムを導入したA社が保守も請け負っているんだから、A社が対応するものだよ
病院の職員が、自分の病院が導入したシステムでどのメーカーのどのモデルのルーター
を使っているかまで把握していると思うのか?
79 : ニューノーマルの名無しさん2022/06/16(木) 12:18:40 ID: 3EFw8Y2Y0.net
VPNって鍵交換なのにクラックされるの?
84 : ニューノーマルの名無しさん2022/06/16(木) 12:22:06 ID: E1hDYZOs0.net
ADの管理者用PWが5桁って
クライアントPCのログインPWでもアウトな桁数だろ
どんなシステム運用してんだよww
85 : ニューノーマルの名無しさん2022/06/16(木) 12:24:26 ID: eJamR7qo0.net
セキュリティ対策しないなら
紙カルテのままの方が良いんじゃ
92 : ニューノーマルの名無しさん2022/06/16(木) 12:27:55 ID: 1P2SVAWf0.net
行きすぎたIT化の弊害だな。
紙文化の方がいいことも多い
93 : ニューノーマルの名無しさん2022/06/16(木) 12:28:58 ID: xor7uz6y0.net
パスワード5桁でもインターネット上に
公開してたんじゃなければ関係ないと思うけど

裏口使って病院のネットに侵入した後で
さらに総当たり攻撃をやるって考えにくい、
病院ネット内で脆弱性を持った機材を探すのが
現実的じゃないの
96 : ニューノーマルの名無しさん2022/06/16(木) 12:30:16 ID: o8+HjTJw0.net
客が古い端末を使い続けて新しいのを買わない

端末が古すぎでセキュリティかけると動かない

古いままで動かせという

これだと業者もどうしようもないんじゃね?
109 : ニューノーマルの名無しさん2022/06/16(木) 12:34:19 ID: k8GVyLQA0.net
おれ、病院のシス管だけど上層部の理解が悪すぎ。コストかかるからウイルス対策更新させてくれないとかそんなレベルだぞ。まだXP動いてるし。
サーバーなんて保守切れ上等。ネットワーク保守はスポット対応契約
俺一人だしもう逃げ出したい
ID: xor7uz6y0.net
>>109
どの位の規模の病院?
112 : ニューノーマルの名無しさん2022/06/16(木) 12:36:45 ID: qu96oYXf0.net
医者って頭いいんだろ?
なんでこんなことも対処できねーの?
117 : ニューノーマルの名無しさん2022/06/16(木) 12:40:24 ID: eJamR7qo0.net
>>95
一般事務員って基本与えられた機材とソフトウェア使ってるだけで
壊れたら保守契約してる業者に電話しかしない
モデルのルーターまで把握してる人は滅多にいないよ
保守契約してたら、業者から案内来て対策してくれると思うし

不具合の案内出たら対象かどうかは見るけど
ID: RuSMtd7s0.net
>>117
Fortigate-60EてGUIでファームウェアアップデートできるのにと言っても
業者頼みになるのだろうなぁ
120 : ニューノーマルの名無しさん2022/06/16(木) 12:40:56 ID: 6ZY5ciIQ0.net
これって,A社が保守契約あったのに
何もしてなかったということ?
132 : ニューノーマルの名無しさん2022/06/16(木) 12:45:44 ID: MeVltyam0.net
>>1
これで、
マイナンバーを保険証にしたら
一億総被害者www
133 : ニューノーマルの名無しさん2022/06/16(木) 12:46:49 ID: k7dB/67c0.net
ウチは15桁以上で大文字小文字数字記号全部含める決まりになってるな
以前は90日制限あったけど有効期限は無くなった
138 : ニューノーマルの名無しさん2022/06/16(木) 12:49:52 ID: CAx4KRqI0.net
何人か指摘してるけど、現場にいる業者はみんなわかってるよね
これが病院側が保守や更新に予算を取らない結果だということを
145 : ニューノーマルの名無しさん2022/06/16(木) 12:55:37 ID: 4446MbIn0.net
p@ssw0rd
149 : ニューノーマルの名無しさん2022/06/16(木) 12:58:08 ID: qTqwfJWV0.net
個人のスマホが無料のバーチャルプライベートネットワークなんだが大丈夫だよな
151 : ニューノーマルの名無しさん2022/06/16(木) 12:59:25 ID: lP/u9X5+0.net
病院より保健所のほうが怖い
いまだFAXの世界だから
152 : ニューノーマルの名無しさん2022/06/16(木) 12:59:44 ID: gpRG1Kh00.net
病院がなんでvpnつかうの
167 : ニューノーマルの名無しさん2022/06/16(木) 13:13:55 ID: H38i5aOO0.net
一番悪いのはハッカーなんだけど
セキュリティ対策を講じるのは経営者の責任だね
188 : ニューノーマルの名無しさん2022/06/16(木) 13:41:28 ID: wJ1Al1Dk0.net
見たか!これが日本人のセキュリティー意識だ!
206 : ニューノーマルの名無しさん2022/06/16(木) 14:07:04 ID: p+uCMhTG0.net
実際セキュリティ面の費用はかなりケチるからなー
何も無ければ無駄な経費となりえる
でも今回みたいな事になれば大問題になる
ベンダーは儲けたいから必要以上に客に提案はすると思うんだけどねぇ
半田側のセキュリティ意識が低いとベンダー側ではどーにもならん
ファームウェアのアプデするにしても一時的にでもシステム止めたくないとか客に言われたら出来ないし
特に病院なんかは365日稼働だろうし
211 : ニューノーマルの名無しさん2022/06/16(木) 14:14:40 ID: 3uUwEXAX0.net
病院経営で最も重要なシステム担当に
ふさわしい地位と給与を提供しないと
こうなる訳です
219 : ニューノーマルの名無しさん2022/06/16(木) 14:23:18 ID: vI/hq+xO0.net
伝票のごはん(大)に中で十分ですって書いてあって、選択肢はあるのに選べない店だろ?
220 : ニューノーマルの名無しさん2022/06/16(木) 14:25:03 ID: JAfSer2+0.net
>>211
カルテを手書きに戻せばシステム担当クビで済む
地方病院は何も困らない
ID: HPqk7fK10.net
>>220
汚えカルテ見せられる紹介先はたまったもんじゃない
代書屋ぐらい準備しろや
221 : ニューノーマルの名無しさん2022/06/16(木) 14:28:11 ID: 05GiKMkA0.net
C社は曝されてるけどA,B紗はどこだろう?
229 : ニューノーマルの名無しさん2022/06/16(木) 14:46:16 ID: +GXLeE7a0.net
実際問題、業者が悪い
何のために高い金払って、お前の所を選んだんだよ
こんな失態おかすなら他に腐るほど選択肢はあるんでね
担当者が頭下げて即来訪、対処するのが仕事でしょ
233 : ニューノーマルの名無しさん2022/06/16(木) 14:53:06 ID: ez/JnepS0.net
>>229
払った分の作業しかしないし出来ないぞ
アプデにしたって客がしろと言わない限りは勝手に出来ない
韓国?やらが新幹線買っても保守契約せずに即壊して鉄塊にするのと同じ
提案はしてるかもしれないが、客との友好関係が低いなら契約外なので提案しない可能性もある
ID: b0w5wbTH0.net
>>233
言われたことしかしない業者って存在価値あるか?
客の要望を自分から引き出していく姿勢がないと他の会社に追い抜かれるぞ
237 : ニューノーマルの名無しさん2022/06/16(木) 15:08:47 ID: BrzX3Jlt0.net
SIの営業が院長や事務局長に色々吹き込んだんだろ
「VPN有ると出先からでもカルテ見れます」
「AIで症例データの検索ができるようになります」
「国が支援しているシステムとリンクができます」

できるできるしか言わない、リスクは伝えないのが営業
238 : ニューノーマルの名無しさん2022/06/16(木) 15:11:37 ID: 5AghmrsW0.net
うちの会社ADのパス2桁で社員全員同じだけど不味いかな?
245 : ニューノーマルの名無しさん2022/06/16(木) 15:27:47 ID: ey9UZU6V0.net
>>243
海外の業者ならできるぞ
欧米ではこんな無能な業者はいない
250 : ニューノーマルの名無しさん2022/06/16(木) 15:42:07 ID: IXkT532G0.net
>>245
文化的に日本は保守料金、サブスク的な課金が理解されんのよね
海外はここすんなり通るから業者もきっちり仕事する
海外の業者ができる、日本の業者ができないわけではなくて
海外は必要なコストを確保できるから相応の仕事するだけ

あとついでに年間保守料金やライセンス料の値上げも揉める
コストプラスフィーが一般的な海外だと話が早いけど
ランプサムに慣れてる日本は価格改定のたびに揉める

特に昨今のUTMは海外OEMしかないから毎年5%程度はライセンス料が上がる
今年は為替ものっかるからエグいことになる
286 : ニューノーマルの名無しさん2022/06/16(木) 20:18:14 ID: /RV+oNFa0.net
>>284
ん?、書いてなくてわからないのなら、最後の運用保守契約をしないでと売ったんだからではなくて、運用保守契約してないで、売ったんだったら、ずっと責任持てやってのは無理筋だろの間違いではないか?

あと、ベンダーがらみならユーザー登録されているのだから、致命的なバグあった時、はがきでも連絡しておかないとだめだろうと思うが?
ID: sx2vHgDO0.net
>>286
運用保守契約なしに
「売ったもんは責任持てや」ってのは無理筋だろ、と言いたい
ユーザー登録してあるから連絡したよーってやってくれるのは
あくまでもサービスであって義務じゃないだろ。
299 : ニューノーマルの名無しさん2022/06/16(木) 23:03:09 ID: 1PstqUYy0.net
あースッカスカたな
狙って下さいと言ってる様なものって感じだね
医療関係って、こう言う感じが当たり前なのかな
312 : ニューノーマルの名無しさん2022/06/17(金) 07:15:27 ID: vNM3euk30.net
導入ベンダーはどこ?FortiGate好んで入れるのデータっぽいんだけど
316 : ニューノーマルの名無しさん2022/06/17(金) 10:55:00 ID: dMDfIgZl0.net
そもそもメールなんでも開くから感染というか騙される
そこから教えてやらんとだめ、ネット知識全然なし

引用元:https://ai.2ch.sc/test/read.cgi/newsplus/1655347256/l1000


コメント 0 件

コメントを残す

CAPTCHA