- 2025/06/05
- ランサムウェア
岡山県精神科医療センターのインシデント事例から学ぶ「ランサムウェア対策のポイント」(前編)
Post by : Yuya Imamura
最大約40,000人の個人情報が漏えいしたランサムウェア被害
近年、医療機関を狙ったランサムウェア攻撃が相次いでいます。2021年10月に発生した徳島県つるぎ町立半田病院へのランサムウェア被害は、詳細な調査レポートが公開されたことで大きな反響を呼びました。その後も、東京の都立病院や愛知県のリハビリステーション、大阪の総合医療センターなど、医療機関における被害が定期的に報告されています。
そのうちの1つに、2024年5月に発生した岡山県精神科医療センターのランサムウェア事案があります。この事案では、被害発生から約9か月後の2025年2月13日に、攻撃や被害の詳細な調査結果を記した「ランサムウェア事案調査報告書」が公開され、医療関係者はもとより一般企業のセキュリティ担当者の間でも高い注目を集めました。
同センターは、病院内ネットワークとデータセンターの間を岡山情報ハイウェイを介した閉域網で接続していましたが、保守作業時にリモート接続するためのSSL-VPN装置がデータセンターに設置されており、この装置を通じて攻撃者の侵入を許してしまいました。
調査報告書によると、攻撃者は病院内ネットワークをスキャンし、さまざまな情報を窃取しながら攻撃ツールを設置しています。さらにActive Directoryサーバへの侵入にも成功し、認証情報を窃取した後に、初期侵入から約6日後に電子カルテシステムをはじめとする院内のシステムをランサムウェアに感染させることに成功しています。
病院側はランサムウェア感染を確認後、即座に院内ネットワークを停止し、厚生労働省や岡山県、岡山市、岡山県警察本部など関係各所に感染を報告した上で、紙カルテによる運用へと切り替えて診療を継続しました。さらに、同日16時には病院ホームページへの掲載やプレスリリースを通じて、サイバー攻撃を受け電子カルテが停止していることを県民に向けて公表し、入通院患者には紙面や口頭で説明を開始しました。
その翌日には、攻撃者と身代金交渉を行わずに自力でのシステム復旧を目指すことを決定しました。最終的に、電子カルテシステムの完全復旧までに約3か月を要しました。また、最大約40,000人分の個人情報が漏えいしたことを公表し、患者本人への通知とお詫び状の郵送を行いました。
セキュリティの対策不備が招いた被害拡大
調査報告書によれば、同センターのセキュリティ対策には複数の不備があり、それらを攻撃者に巧みに突かれた結果、侵入を許したことが明らかになりました。
例えば、SSL-VPN装置の管理者ID/パスワードが「administrator/P@ssw0rd」という容易に推測できるものであったため、攻撃者は辞書攻撃などの手法を用いて比較的容易に侵入できたと考えられています。
また、SSL-VPN装置のみならず、病院内の多くのWindowsマシンで管理者アカウントのID/パスワード設定が使い回されていたため、初期侵入後に短期間での横展開を許してしまったと考えられます。加えて、一般ユーザーにも管理者権限を与えていたことも、容易に横展開を許してしまった要因だと推測されています。
攻撃者は、病院の端末に導入されたセキュリティソフトを削除したり、その機能を無効化することで感染の発覚を免れていました。本来なら一般ユーザーはこうした操作は行えないようアカウント権限を設定するのが通常ですが、同センターでは前述のように一般ユーザーにも管理者権限を与えていたため、一度アカウントの認証情報を窃取された後はセキュリティソフトの停止・削除をはじめ、攻撃者によるさまざまな細工が可能な状態になっていました。そのほかにも、攻撃者は「Mimikatz」と呼ばれるツールを悪用して認証情報の窃取を行っていますが、これも一般ユーザーに管理者権限が付与されていたために可能になったものと推測されます。
ここまで挙げてきた数々の侵入・感染手口は、同センターのインシデントのみならず、さまざまなランサムウェア被害において共通して見られるものです。では、これらを防ぐには一体どのような対策を講じておけばいいのでしょうか。後編では、今回紹介したインシデントの被害を防ぐための具体的な対策や、導入効果が高いセキュリティツールなどについて紹介します。
【調査結果レポート】2024年版 ランサムウェア 〜ビジネスにもたらす真のコスト〜
サイバーリーズンでは、1,008名の企業のIT担当者を対象に、2024年度のランサムウェアがビジネスに及ぼす影響に関するグローバル調査を実施しました。
本レポートでは、詳細な調査結果を紹介するとともに、企業がとるべき対策として6つの核となる課題を取り上げて、それぞれの課題に対する推奨対策について紹介しています。
https://www.cybereason.co.jp/product-documents/survey-report/11873/
