前回に引き続き、0医療センター(以下O病院)の情報セキュリティ調査委員会報告書について私なりの考えを交えて何回かに分けて解説したいと思います。
丁度1年前に発生したH田病院(以下H病院)の調査報告書と比較しながら論じていきます。
侵入経路
侵入門戸
- H病院の事件では、
←これ - O病院の事件では、 ←これ(*)
なーんだ、またお前か、との声が聞こえてきそうですが、VPN機器に長い間パッチを当てずメンテナンスを怠っていたせいで、全く同じ脆弱性(番号:CVE-2018-13379)を利用して侵入されています。
(*) O病院の報告書には具体的な機器名が明示されていませんが、H病院報告書16ページにもO病院報告書45ページにも同じCVE-2018-13379とあります。これはFortinet社機器で作動するFortiOSの旧バージョンが持つ脆弱性の番号です。よって少なくとも同じOSを使う同社の機器と思われます。CVE-2018-13379脆弱性は、IDとパスワードを教えてしまうというとんでもないものです。
この弱点を持つ世界中の機器が調べられており、その「IPアドレス・ID・パスワード」がセットで堂々と闇サイト上で売られています。
侵入経路
- H病院 H病院のメンテナンス用VPN機器から直接侵入
- O病院:関連給食会社E社のメンテナンス用VPN機器(報告書ではファイアウォールZと呼称)から侵入し、E社内を経由してO病院に侵入
O病院の場合は自分のVPN装置からではなく、関連業者のVPN機器を通じて入られています。
現在の医療業界では、多数の病院と関連業者が複雑に入り組んで接続されている状態なので、そのどこか1カ所でも弱点があればそこから侵入されてしまうという現状は憂うべき事態です。
自分の病院のことを気をつけているだけでは足りないということですから。
侵入を免れた病院
報告書では、侵入されたE社に接続していた病院が、O病院の他にも2つ(M病院、L病院)あり、この2病院はO病院と同じ立場にありながら侵入を許していません。
この件についても報告書では言及されています。(O病院報告書47-48ページ)
- M病院の場合:パスワードを1文字変えており、セグメントも別であったので難を逃れた。
- L病院の場合:セグメント・パスワードが別で、ゲートウェイ端末を設置していたので難を逃れた。
例えて言えば、空き巣に侵入した泥棒が部屋の中にまで障害物(セグメント)やら鍵(パスワード)やらが沢山ある状態だったので早々に諦めて帰ってしまったということです。
それに引き換えO病院の場合はパスワードが共通で障害物(セグメント)が無いので、一旦侵入に成功すれば中で自由に移動出来、やりたい放題だった訳です。
まとめ
結局、両病院とも同じ機器の脆弱性を利用して侵入されています。但し、Oセンターは隣の業者から侵入(サプライチェーン攻撃)です。
教訓としては、
- ソフトウェアやファームウェアのアップデートをこまめに行う。サポート切れの機器は放置せずに交換する。
- 院内と院外を分ける防壁(ファイアウォール)だけを過信せず、例え侵入を許した場合でもその動きを制限する為に、内部のネットワークを作り込んでおく。
コメント