今回は2021年10月に起こったT県H田病院の電子カルテ乗取り事案について、私なりの解説と教訓を述べたいと思います。
事件の概要
- 2021年10月31日未明、突然病院のプリンタから大量の英文の印刷
- 同時に電子カルテが一切閲覧出来なくなった。
- バックアップデータも全て暗号化されていた。
- 病院側は災害時体制をとり、紙カルテで対応
- 受付や診察の手間が増加し、救急受け入れの制限を余儀なくされた
- 患者から逆に受診歴を聴取し、近隣の薬局や医療機関などから患者情報を集めた
- 専門業社に頼んで復旧
- 復旧まで2ヶ月かかり、かかった費用は2億円(推定)
ソース:調査報告書
侵入門戸
同病院の電子カルテシステムは外部のネットワークから完全に切り離されて運用されており、インターネットからの接続は物理的に不可能(なはず)でした。
しかし実は完全には切り離されていなかったのです。
20年くらい前には電子カルテのベンダーが病院に保守のため常駐していた時代もありましたが、現在ではリモートメンテナンスの時代となっています(人件費から考えても当然の帰結です)
つまり、ベンダーからのメンテナンス用の接続線が必ず存在し、外部と切り離されているように見える電子カルテシステムも、その線によって外部とは何らかの形で必ず繋がっています。
さらには病院のシステムは電子カルテ本体だけでなく、各部門(検査部門とか薬剤部門とか給食部門など)のサブシステムもありますので、それぞれが別のベンダーだった場合はそれぞれ個別のメンテナンス線もあるはずで、その数は増えます。
H田病院の場合は、電子カルテのメンテナンス業者がVPN接続用機器としてFortinet社製のFortigate60Eを設置しており、ここが外部との接続点になっていました。(つまり実は外部と繋がっていたのです)犯人はこの機器から侵入してきたと推定されています。
このお弁当箱サイズの、Amazonで8万円くらいで売っている機器(安いので中小企業の通信用機器としてはベストセラー機だそうです)が、今回の侵入門戸となりました。
普通「ハッキングされる」というとパソコンが乗っ取られることを想像されると思いますが、今回最初に乗っ取られたのはパソコンの形とは似ても似つかないこの機器でした。
何しろパソコンの形をしていないので、担当者の方もメンテが必要であることを失念していたのでしょう。あるいは業者が勝手に部屋の隅に置いて帰っていき、部屋の片隅で誰にも顧みられなかったのかも知れません。とにかくずっとメンテ(ファームウェアのアップデート)を受けていなかったことは確かです。
脆弱性情報
パソコンやFortigate60Eなどの通信機器などには、定期的に脆弱性情報がアナウンスされ修正パッチが配布されます。
自動車で言うところの「リコール」と同じです。
自動車に欠陥が見つかるとメーカーの責任で無料で部品を修理してくれますが、それと同じくパソコンや通信機器に欠陥が見つかると(自動車よりはるかに高い頻度で欠陥が見つかります)メーカーが無償で修正ソフトを配布します(アナウンスされます)ので、ユーザーはそれを適用してセキュリティホールを修正します。これをパッチを当てると言います。
CVE-2018-13379
機器やソフトウェアの脆弱性情報については、発見順に世界共通の通し番号が割り振られています。今回の事件の原因となったFortigate60Eに見つかった脆弱性はCVE-2018-13379という番号が振られています。
この脆弱性は、IDとパスワードを外部に教えてしまうという、とんでもない脆弱性です。
Fortinet社の警告
あまりにもとんでもない弱点なので、メーカーのFortinet社は、2019年5月、2019年8月、2020年7月、2021年6月の4回にわたって早急にパッチを当てるように警告を発しています。しかしH田病院の機器にはパッチを当てられることはありませんでした。
闇サイトからの情報流出
そして2021年9月にはH田病院の機器も含む87000台分のFortigate 60EのIDとパスワード集がご丁寧にも収集されて闇サイトで販売流通していることが発覚します。この流出については広く新聞報道もされました。そしてそれでもH田病院の機器はパッチが当てられることはありませんでした。
事件の発生とその後
闇サイトでの情報販売の翌月、とうとうH田病院の電子カルテは乗っ取られてしまいます。まずはバックアップデータの方が暗号化され、次に電子カルテ本体も暗号化されて読めなくなってしまい、現場の職員が気付いて事件が発覚しました。
医療現場では大変なご苦労があったと思います。この災害級のインシデント発生にも関わらず患者さんを最後まで守り切ったと報告書ではその労苦が大いに評価されています。
またこの事件は発生当初から記者会見で公表もされ、他の多くの医療機関にとっての警鐘事例となりました。さらには行政や業界に危機感もたらし、その変革を促すきっかけとなった事件になりました。
そして私個人も大きな危機感を持ちました。それまではコンピューターウイルスと言えばPCが少し遅くなる程度の被害だと考えていましたが、実際に患者の命が危険にさらされるというこれまでとは全く桁の違う新時代への突入を告げる事件だと感じました。
侵入経路の検証
事件が発覚した3日後、Fortigate 60Eのファームウェアのアップデートが業者により行われました。この際、ログを保存しないでアップデートが行われたため、おそらく記録されていたであろう侵入の痕跡が上書きされて消失しました。これで侵入経路の正確な検証が困難となってしまいました。
個人的にはここが最大のツッコミどころだと思います。つまり、
| 侵入される前 | 定期的にアップデートをしなければならないのに、長年それを怠っていた。 |
| 侵入された後 | 証拠保全のためアップデートをしてはならないのに、速攻でそれを行った。 |
結局侵入経路は確定出来ませんでしたが、以下の状況証拠より消去法でFortigate 60Eが侵入門戸と推定されています。
- ここ以外に外部との接続がない。
- 脆弱性を改善するアップデートが行われず放置されていた。
- IDとパスワードが闇サイトで堂々と売られていた。
2023/5/23 追記:この機器に久しぶりにログインした場合には、まずはファームウェアのアップデートを促す警告が出るようです。この警告に従ってとりあえずアップデートが行われたのかも知れません。
業界の構造的問題
中小病院にはそもそもサイバーセキュリティに人員を割く財政的な余裕がありません。せいぜい一人雇うのが限度。H田病院でも一人体制で日々の機器やネットワークの保守運用を行なっていたとのことですので、それで手一杯であったことが想像されます。
しかし狙う側から見れば相手の規模の大小は関係ありません。病院の規模が小さいからといって見逃してくれるわけではありませんし、むしろ防御が手薄な分だけ狙われ易いとも言えます。
病院とりわけ中小病院は人なし、金なし、知識なしの三重苦に置かれています。この問題をこのまま放置していては日本全体の医療の安全性に関わります。(中小病院の院長の私が言うのだから間違いありません)
教訓・まとめ
院長をはじめ病院幹部の皆さんへ:
たまにはサーバー室に入ってみましょう。
サーバー室へのホコリの持ち込みは嫌われますが、それでも入りましょう。
ハッカーはパソコンから侵入するとは限りません。
部屋の隅にこのような得体の知れない小さな機器を見かけたら、これは誰が持ち込み誰の責任で管理しているのか。さらには定期的なアップデートは確実にされているのかどうかを、どうか確認してみてください。
電子カルテが乗っ取られる前に。
コメント