2022年10月にランサムウェアの被害にあった0医療センターより、情報セキュリティ調査委員会報告書が出ました。私なりの考えを交えて何回かに分けて解説したいと思います。
発覚日
0医療センターのランサムウェアが発覚したのは、2022年10月31日でした。この日は奇しくもH田病院のランサムウェア事件(2021年10月31日発覚)から丁度1年目の日でした。
以下、H田病院(以下H病院とします)とO医療センター(以下O病院とします)の両者を比較しながら論じていきたいと思います。
通報・連絡
初動時の通報・連絡先はそれぞれ以下の通りです(報告書から確認できるもの)
- H病院:徳島県警察本部、町(開設者)、徳島県(県を通じて総務省自治行政局デジタル基盤推進課および内閣サイバーセキュリティセンター)、医師会、独立行政法人情報処理推進機構(IPA)
- O病院:大阪府立病院機構本部(運営母体)、大阪府、大阪府住吉警察署、大阪市保健所、厚生労働省、内閣サイバーセキュリティセンター(NISC)
H病院の調査報告書の中では、セキュリティの専門家が居ない(そして呼んでも来てくれない)中で初動期に混乱し途方に暮れながらも懸命に頑張っている様子が見て取れるのに対し、O病院の場合は厚生労働省から初動対応支援の専門家チームに来てもらえました。この1年の間に厚生労働省側での初動対策も進んでいた結果と思われます。これはある意味H病院の苦労が無駄ではなかったとも言えます。H病院という ” 先達の苦労 ” があったからこその支援ではないでしょうか。
バックアップの有無とデータ復旧の方法
バックアップの状況
- H病院:普段からバックアップは取っていたが、それがオンラインバックアップであったため、本体と共にバックアップまで暗号化されてしまった。
- O病院:オフラインバックアップ(磁気テープ:LTO)であったため、バックアップはほぼ無傷(直近3日分のデータが失われたのみ)であった。
オンライン(常時線でつながっている)と、その線を通じて感染が広がってしまう訳です。
最近ではバックアップはオフライン(バックアップ作業中以外は切り離しておく)が推奨されています。
データ復旧
- H病院:データ復旧専門業者に委託して復旧してもらった(復旧方法の詳細は不祥)
- O病院:自らのバックアップデータを用いて復旧
H病院の場合は、暗号化に使われたのは楕円曲線暗号という理論上は解読できないはずの暗号であり、どのように復号したのかは明らかにされていません。
O病院は自らのバックアップデータを元に、まずは参照サーバー(読むことのみは出来るが書くことが出来ない電子カルテ)を構築し、次に全面復旧するという手順で復旧を進めています。
復旧までの期間と被害総額
- H病院:約2ヶ月 約3億円
- O病院:約2ヶ月 10億円以上 (調査復旧費用:数億円 + 診療制限に伴う逸失利益:十数億円)
O病院はバックアップデータを持っていたにもかかわらず、復旧までの期間はH病院とほぼ同じだけかかっています。被害額の多寡は病院規模の差(H病院120床 vs O病院865床)を考慮すれば同等と見ていいでしょう。
ここで特筆すべきはバックアップがほぼ無傷であったO病院でも、バックアップを失ったH病院と変わらない被害を受けていることです。
O病院ではどの端末まで感染が広がっているのか分からない中で、結局2200台以上の端末とサーバー群を全部クリーンインストールしなければならなかった為であると報告書にはあります。
まとめ
バックアップを 取っておいても 10億円
「バックアップはオフラインで取りましょう」と常々推奨されていますが、それでもやっぱり復旧期間2ヶ月&被害10億円以上は厳しい現実です。
管理者の方々にとっては、サイバー保険についても真剣に検討する時期が来ているのかも知れません。
追記:再発防止策
(2023/11/23 追記)
再発防止策として、シスコシステムズより2023年11月22日、 ” Cisco Secure Network Analytics ” がO医療センターに導入されたと発表されました。
この製品は、ネットワーク環境でサイバー攻撃などの脅威の兆候を監視、検知して対応を支援する「NDR(Network Detection and Response)」に属する製品であり、「仮に境界が突破され、脅威が侵入したとしても迅速かつ的確に対処を支援する。また、端末一つ一つに直接対策が難しい医療機器および制御端末が悪用された場合、ネットワーク上で普段とは異なる挙動などの攻撃の予兆を検知してすぐに対処し、被害を最小限に防ぐことができる」と説明されています。
コメント