DIME MAGAZINE
昨今の相次ぐ医療機関へのサイバー攻撃を受け、企業ではセキュリティ意識が高まっている。今後は病院に限らず、より一層、ランサムウェアの被害を最低限に抑えるための対策が必要になる。今回は、直近で発生した大阪急性期・総合医療センターのケースを参考に、ランサムウェアの侵入経路となったVPNのセキュリティ対策や今後の脅威予測について、Webセキュリティの第一人者といわれるEGセキュアソリューションズ取締役CTOの、徳丸浩氏に聞いた。
大阪急性期・総合医療センターの事例から得られる対策のヒント
IPA(情報処理推進機構)による「情報セキュリティ10大脅威2022」では、企業と個人における情報セキュリティの脅威ランキングが掲載されているが、企業の1位は、「ランサムウェアによる被害」。今、最も脅威のあるサイバー攻撃と言える。
ランサムウェアとは、悪意のあるソフトウェア「マルウェア」の一種で、感染すると端末等に保存されているデータを暗号化し、使用不可の状態にした上で、元に戻すことと引き換えに金銭や暗号資産を要求する不正プログラムのことだ。
最近では2021年10月の徳島県つるぎ町立半田病院、2022年6月に同じ徳島県内の鳴門山上病院と続き、2022年10月31日には、大阪急性期・総合医療センターが同様のランサムウェア被害に遭うなど、医療機関が立て続けに標的となっている。同センターでは電子カルテシステムの障害が発生し、緊急以外の手術や外来診療を停止と公表。ランサムウェア被害及びその緩和策のために、院内ネットワークシステムを完全に停止した。
●大阪急性期・総合医療センターの事例の特徴
同センターの事例では、直接、医療センターに侵入されたのではなく、医療センターに食事を届ける給食センターからの侵入であった。具体的には、給食センターにおける「VPN」装置が侵入経路となった。VPNとは「Virtual Private Network」の頭文字をとった用語で、離れた拠点間を仮想的な専用線でつないで通信できるようにする仕組みだ。
徳丸氏は、同センターの事例の特徴について次のように解説する。
「この事例は、医療センターに直接侵入されたのではなく、同センターの委託先である給食センターのVPN装置の脆弱性から侵入したところに特徴があります。このような委託先経由での攻撃は『サプライチェーン攻撃』と呼ばれます。自組織のセキュリティだけでなく、自組織と接続している取引先などのセキュリティも重要であることは以前から指摘されていましたが、これが現実のものになってきたと言えます」
徳丸氏によれば、給食センターのVPN装置は半田病院と同じ機種であり、おそらく半田病院と同様の手口で侵入されたのではないかという。また、「ソフトウェアが勝手に感染したというよりは、外部のハッカーが手作業なども駆使して侵入したのでは」と同氏は分析する。
また同氏は「ハッカーも分業化が進んでいるようで、攻撃できそうなVPNを探して侵入してIDとパスワードを割り出し、侵入口を作ることを担当するグループと、実際に病院にランサムウェアを設置するグループが分かれていると考えられます」と補足する。
●ランサムウェア「Phobos」の特徴
今回、同センターの事例でVPN装置に侵入されたランサムウェアは「Phobos(フォボス)」という名が付けられている。
「Phobos(フォボス)はランサムウェアの一種で、Windowsのリモートデスクトップ経由での侵入を特徴としています。同センターでは給食センターのVPN装置が侵入の入り口となりましたが、給食センターと医療センターがリモートデスクトップで接続されていたので、Phobosが使われた可能性があります」(徳丸氏)
VPNへの対策とサプライチェーン攻撃の対策
同センターの事例を知ると、一般企業にとってもVPN装置やサプライチェーン間のネットワークへの脅威を意識せざるを得なくなる。
「VPNからの侵入を起点としたランサムウェア感染は非常に多いのですが、技術的には特別な対策が必要だったわけではありません。VPN装置の既知の脆弱性が狙われており、脆弱性の対策プログラム(パッチ)を早期に適用していれば防げた事件でした。
VPNの設置は多くの場合、専門ベンダーに委託していますが、セキュリティパッチの適用はベンダーあるいは利用者のどちらが担当するか曖昧なケースがほとんどです。契約を見直し、パッチ適用の責任の所在を明確にするべきです」(徳丸氏)
そして今回の事例は、徳丸氏が先ほど指摘したように、サプライチェーン攻撃の代表的な事例と言える。医療センターと給食センターとは同じ医療法人に属しているが、形態的には一種のサプライチェーンであり、その弱点を突かれてしまった。徳丸氏によれば、このサプライチェーン攻撃も昨今、大きな脅威となっているという。
総じて、VPN装置とサプライチェーンへの脅威への対策について、徳丸氏は次の点を挙げる。
●対策
・ソフトウェアやネットワーク機器などを外部調達する場合は、セキュリティ対応を必ず契約に含めておく。VPN機器やサービスの保守契約は「故障対応」のみの場合が多く、「脆弱性対応」は別となっているケースが多いため。
・最近、多いランサムウェア事案は、この意味でも「サプライチェーンの問題」といえる。取引先や関連会社とネットワーク接続するにもファイアウォールなどでブロックし、必要な通信のみにすることが必要。しかしサプライチェーンにおいて、取引関係上、委託先企業は他社になるので、発注元企業がセキュリティのコントロールができないという課題がある。
・今回はVPN装置経由での侵入だったが、メール経由で侵入することもある。簡単に侵入されないような多層防御も必要。
2023年のセキュリティ脅威予測
先日、徳丸氏が登壇したイー・ガーディアン株式会社主催のセミナーにおいて、同氏による2023年のセキュリティ脅威予測が紹介された。基本的には2022年と大きな差異はなく、主に3つのトピックスがあるという。
1.ランサムウェアは脅威として存在し続ける
ランサムウェアの脅威はこの2~3年で変化はない。VPNが狙われるという基本的な戦略も変わっていないという。ランサムウェアを巡る「エコシステム」はすでに確立しており、このエコシステムは現在有効に作用している。このことから来年もランサムウェアは脅威として存在し続けるという。防御側に変革がなければ、攻撃側が変革する動機はあまりないためだ。
対策は、「EDR(Endpoint Detection and Response)」を入れること。EDRとは、コンピュータシステムのエンドポイントにおいて脅威を継続的に監視して対応する技術のことだ。
2.Emotet(エモテット)の脅威は断続的に続く
数年前から世界的に大流行している、メール型のマルウェア「Emotet」の脅威も続いていくという。
Emotetは、主にメールの添付ファイルを感染経路とした不正プログラムで、過去にやり取りしたメールへの返信を装ったメールを送信し、添付ファイルの開封を促す。Emotetに感染したパソコンからメールアカウント、パスワード、メール本文等の情報を窃取し、これらの情報を悪用して、感染拡大を目的としたメールを送信する。
典型的なのは、パスワード付きZIP形式で圧縮された文書ファイルが添付されており、パスワードがメールの本文に記載されているパターン。文書ファイルを開くと、ファイルに埋め込まれたマクロの実行を促す内容が表示され、実行するとEmotetに感染する。
また過去には、メール本文に記載されたURL リンクや、メールに添付された圧縮されていない状態の文書ファイル等からEmotetに感染する事例も確認されており、バリエーションは多い。一時期、犯人が逮捕されたが、残党が再開したと見られ、Emotetの脅威は続いている。
徳丸氏は「Emotetのすごいところ」として次の点を指摘している。
・メールの文書ファイルを開かせる手口が巧妙
添付ファイルそのものはあまり巧妙ではないが多くの人が有効化してしまう
・マルウェア対策製品の回避技術が巧妙
・現に膨大な感染者が出ている
反対に「Emotetのすごくないところ」については
・マルウェア感染の基本戦略は古典的なマクロウイルスと変わらない
・利用者が基本動作を実行していれば感染を防ぐことは可能
を指摘。予防策として「そもそも添付ファイルを開かなければ、またコンテンツの有効化を押さなければ感染しません」と述べる。
3.クレジットカード情報漏洩は打ち手が難しい
最近、クレジットカード情報漏洩のニュースも報道されている。しかし打ち手が難しいという。このことから、徳丸氏は「ECサイト等では、生のクレジットカード決済ではなく、Amazon PayやPayPayなどの電子決済を挟むなど、より安全な決済手段に移行するのでは」と指摘する。
医療機関のVPNを次々と襲うランサムウェア、そしてEmotetなど、ビジネスパーソンの身近なところに脅威は確かにある。企業・個人共に意識をより一層、強化したい。
【取材協力】
徳丸 浩氏
株式会社EGセキュアソリューションズ 取締役CTO
ウェブアプリケーションセキュリティの第一人者。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、”徳丸本”と呼ばれ広くウェブ従事者に支持されている。
https://www.eg-secure.co.jp/
取材・文/石原亜香利
絶賛発売中!DIME最新号の特集は「トレンド大予測2023」、特別付録はLEDアクリルメモボード
DIME最新号では、2023年のトレンドを特集で徹底予測。2022年における世界情勢や為替の変動を受けて、2023年は日本国内における先進技術の研究開発をはじめ、ワールドワイドな製造体制の見直しや、内需拡大につなげる第一次産業のIT化の動きが加速しそう。そこで、加速するカーボンニュートラルの動向から、医療およびデジタルIDの最新事情まで、ビジネスパーソンが知っておきたい50のキーワードを紹介しています。
さらに、今号の付録は、いろんな使い方で楽しめるインテリア雑貨「LEDアクリルメモボード」。20cm×20cmの透明なアクリルパネルに、同梱される白いペンで文字やイラストで描き込めるようになっており、土台となるウッドベースにこのアクリルパネルをセットすると、7色に切り替えられるLEDライトによって、ライトアップできるデスクトップインテリアです。
20cm×20cmというサイズ感なので、文字だけでなく、表、グラフ、図などはもちろん、好きなイラストや絵を書き込めます。ちなみに、書き込んだ文字やイラストは同梱されている布できれいに拭き取ることができるため、何度でも書き直すことが可能。また、好きな写真やイラストをアクリルパネルの下に敷けば、トレースしてイラスト化することも可能です。
デスクトップでカレンダーやTo Doリストして使うこともできれば、家族が集うリビングやダイニングに置いて伝言板として使ったり、お店のテーブルやカウンターにメニューボードして使うこともできるので便利。家族や職場の同僚とのコミュニケーションを高めるために、推し活や趣味を盛り上げるために、このおしゃれな付録「LEDアクリルメモボード」を活用してみてはいかが?
最新号
