1.概要
ランサムウェアによる脅威は依然として継続しており、2025年3月13日に警察庁が公表したレポート「令和6年におけるサイバー空間をめぐる脅威の情勢等について」[1]によれば、2024年のランサムウェアによる国内被害件数は222件に上り、高水準で推移していることが指摘されています。被害が相次ぐ中、被害組織が他組織における今後の教訓として活用されることを目的に、詳細な調査結果を公開する動きも見られます。本記事では、こうした取り組みの1つとして、2025年2月13日に詳細な調査報告書[2]が公開された岡山県精神科医療センターにおけるランサムウェア感染事案について取り上げます。当該調査報告書から読み解ける攻撃者に悪用されるセキュリティの課題やその対策についてご紹介いたします。
2.岡山県精神科医療センターにおけるランサムウェア感染被害の概要
本章では、岡山県精神科医療センターにおけるランサムウェア感染事案のインシデント認知から復旧までの流れおよび被害内容についてご説明します。
(1) インシデントの全容
① インシデントの認知
2024年5月19日16時頃に電子カルテの不具合が発覚し、翌日20日午前6時頃にランサムウェア攻撃に起因した障害であることが判明しました。発見が遅れた(障害発生日の翌日にランサムウェア攻撃を認知した)要因としては、ランサムノート が一部の物理サーバの特定フォルダにのみ保存されており、ディスプレイへの表示やプリンタへの出力が行われなかったことが背景にあると考えられています。発覚後、直ちに病院ネットワークの停止を行い、厚生労働省、岡山県、岡山市、岡山県警察本部に報告が行われています。
② 外部への公表
インシデント発覚から約10時間後の2024年5月20日の16:00ごろには病院ホームページやプレスリリースを通じてサイバー攻撃を受け、電子カルテが停止していることを外部に向けて公表しています(第一報)。翌21日15:30にはランサムウェアによる被害であることを続報として公表しています(第二報)。
③ 対策会議の実施
インシデントが発覚した2024年5月20日以降、対策本部を設置し、約2か月間にわたり1日に2~3回の医療継続のための定例会議を実施、また、システム復旧の進捗管理のために約6か月にわたり1日に1~2回の進捗連絡会議を開催しています。
④ 調査
インシデント発覚から約12時間後の2024年5月20日18時頃に、厚生労働省初動対応チームが病院に到着し、病院関係者、岡山県、岡山県警察本部、A社(基幹システムのソフトウェア構築・保守統轄事業者)、B社(基幹システムのハードウェア・ネットワーク構築・保守事業者)が参加して全体会議を開催され、調査が開始されました。フォレンジック調査報告書からは攻撃者による以下の行為が判明しています。
- ADサーバへのアクセス
- ネットワークスキャナの設置および使用
- PSEXECのインストール
- Comsvcs.dllを使用した認証情報の取得
- ADサーバのバックアップ削除
- セキュリティ対策ソフトに関するファイルの削除
- 各種サーバ、端末の管理共有(C$)のマウント
- ランサムウェアの自動起動設定 など
⑤ 情報漏洩の発覚
インシデント発生から約2週間後の2024年6月7日、岡山県警察本部から個人情報の流出を確認した旨の連絡を受け、本院サーバの共有フォルダに含まれる医事情報、行政調査情報、ケア会議議事録等の Office 文書(氏名、住所、生年月日、病名等を含む最大 40,000 人分)が流出したことを確認しています。
情報漏洩の連絡を受けた4日後の2024年6月11日に岡山県庁で記者会見を実施し、併せて、郵送によるお詫びと本人通知を実施しています。
⑥ 復旧
電子カルテシステムについては、インシデント発覚から12日で仮復旧、46日で本復旧が行われています。その他のシステムも含め完全復旧に至ったのは、インシデント発覚から90日後でした。復旧に時間を要した原因としては、バックアップの管理が適切に行われていなかったことが考えられます。オフラインバックアップの取得は実施されていましたが、オフラインバックアップが正しく取得されておらず、オフラインバックアップからの復旧が実施できず医療情報の収集分析に使用しているDWHからデータを取り出し復旧する方針をとりました。
本インシデントの流れの理解のため、本インシデントにおける主要な出来事について、時系列を以下に記載します。
表1 インシデントの時系列
|
日付
|
時刻
|
内容
|
|
5/19
|
16:00頃
|
病院スタッフが電子カルテの動作停止を確認、A社に連絡
|
|
5/20
|
06:15頃
|
バックアップからのシステム復旧を試行しようとしたところ、バックアップファイルから不審な拡張子を発見、ランサムウェアであることを確認
|
|
07:40頃
|
厚生労働省、岡山県、岡山市、岡山県警察本部に連絡
|
|
11:50頃
|
A社が、ADサーバ等のイベントログ、Firewall装置、VPN装置のログを取得
|
|
16:00頃
|
サイバー攻撃を受けたことを病院ホームページやプレスリリースを通じて外部へ公開
|
|
18:00頃
|
病院関係者、厚生労働省初動対応チーム、岡山県、岡山県警察本部、A社、B社が参加して全体会議を開催、調査開始
|
|
5/21
|
13:30頃
|
個人情報保護委員会に速報を提出
|
|
15:30頃
|
ランサムウェア攻撃であることを病院のホームページやプレスリリースを通じて続報として外部へ公開
|
|
6/1
|
–
|
電子カルテシステム仮復旧
|
|
6/7
|
09:00頃
|
要配慮個人情報の流出を確認
|
|
7/4
|
–
|
電子カルテシステム本復旧
|
|
8/17
|
–
|
病院情報システム完全復旧
|
本インシデントでは主に以下のような被害が発生しています。これらの内、いくつかは平時におけるセキュリティ対策が適切に行われていれば防げた可能性があります。本インシデントにおけるセキュリティ上の課題については次章でご説明します。
- 電子カルテシステム等の仮想サーバおよび物理サーバの暗号化によるシステム稼働障害
- vSphereおよび仮想用共有ストレージ(複数の基幹システムの仮想マシンファイルを保存していたストレージ)の暗号化によるデータ全喪失
- 要配慮個人情報の漏洩 など
3.本インシデントにおけるセキュリティ上の課題およびその対策
調査報告書から被害当時、岡山県精神科医療センターのセキュリティ体制には多くの課題があったことが読み取れます。本インシデントにおける課題およびその対策をCSF 2.0 の6つの機能(ガバナンス、特定、防御、検知、対応、復旧)の観点で整理しました。自社に当てはまる項目がないか確認し、再度セキュリティ体制を見直すことを推奨します。
表2 課題および対策
|
#
|
機能
|
課題
|
課題詳細
|
対策
|
|
1
|
ガバナンス
|
ITに特化したBCPの欠如
|
セキュリティインシデントに対応しつつ、事業の継続を行うための計画が作成されていない
|
・IT-BCPの策定
|
|
2
|
特定
|
情報資産の洗い出しの未実施
|
システム管理台帳が存在せず組織内の情報資産の把握が行われていない
|
・情報資産の洗い出し
・各種台帳の作成
・情報の分類とラベル付け
|
|
3
|
適切なリスクアセスメントの未実施
|
情報資産の洗い出しが行われていないことから、リスクアセスメントも行われていないと考えられる
|
・適切なリスクアセスメントの実施
|
|
4
|
防御
|
脆弱な資格情報
|
ID/PW が、administrator/P@ssw0rd という推測可能な資格情報が使用されていた
|
・複雑なパスワードポリシーの設定
・認証失敗時のロックアウトの有効化
|
|
5
|
パスワードの使いまわし
|
病院内のすべてのWindowsPCの管理者ID/PWも#1と同じ資格情報が使いまわされていた
|
・従業員へのセキュリティ教育
・IDaaSを使用したID管理
|
|
6
|
不適切な脆弱性管理
|
SSL-VPN 装置は2018年に設置して以降、脆弱性が修正されていなかった
|
・社内機器の脆弱性管理
|
|
7
|
不適切な権限管理
|
すべてのサーバ・端末のユーザに管理者権限を与えていた
|
・最小権限の原則の遵守
|
|
8
|
デフォルトのRDPの設定
|
認証時にロックアウトの設定がされておらず、辞書攻撃などが可能な状態であった
|
・ロックアウトの設定
・ポート番号の変更
|
|
9
|
Windows Updateの未実施
|
すべてのサーバ・端末のWindows Updateが実施されていなかった
|
・すべてのサーバ・端末において定期的なアップデートを実施
|
|
10
|
検知
|
不適切なログ管理
|
FirewallやSSL-VPN装置のSyslogの適切な設定がされておらず、暗号化発覚時点では調査に有効なログは記録されていなかった
|
・適切なログの出力設定
・適切なログサイズの設定
・Syslogサーバの設置
|
|
11
|
ログ分析の未実施
|
一部ログの取得は行われていたが、異常の検出などには利用されていなかった
|
・定期的なログの分析
・SOCサービスの利用
|
|
12
|
対応
|
–
|
–
|
–
|
|
13
|
復旧
|
不適切なバックアップ管理
|
オフラインバックアップは行っていたが正しく取得できていなかったため、復旧に使用できず
|
・定期的なバックアップのリストア訓練の実施
|
本インシデントにおける主な課題と対策を紹介しましたが、内容を見て「よくある基本的なセキュリティ対策だ」と感じた方もいらっしゃるかもしれません。実際、ここで紹介した多くの対策は一般的なセキュリティ対策として広く知られているものです。しかしながら、本インシデントでも明らかになったように、その“基本”が適切に実施されていなかったことが、被害の発生につながっています。情報資産の洗い出しやリスクアセスメントといった、セキュリティ対策の土台となるプロセスをしっかりと行っていれば、今回のような事態は回避できた可能性があります。
この機会に、組織内でのセキュリティ対策が実効性を持って実施されているか、特に情報資産の把握やリスクの評価が適切に行われているかを、改めて確認してみてはいかがでしょうか。
4.その他のインシデント調査結果について
今回は岡山県精神科医療センターにおけるランサムウェア感染事案の調査報告書に焦点を当てましたが、その他にも、以下のように詳細な調査報告書が公開されています。また、挙げているもの以外にも調査報告書という形式ではなく、プレスリリースやホームページなどにおいて調査結果を公開している企業もあります。他社における被害事例は今後のセキュリティ対策を検討する上で、非常に参考となりますので、一読することを推奨します。
- 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書[3]
- 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書[4]
5. まとめ
本記事では、岡山県精神科医療センターにて発生したランサムウェア感染事案の調査報告書についてご紹介しました。他人事と捉えず、自社においても同様のセキュリティ課題が存在しないかを確認し、早急に対策を講じることが重要です。
また、本インシデントでは、フォレンジック調査により多くの攻撃者の痕跡が特定されました。このようなフォレンジック調査を行う専門会社を平時から選定しておくことも有効なセキュリティ対策の一つです。当社においても、2025年5月より「デジタル・フォレンジックサービス」の提供開始しております。「デジタル・フォレンジックサービス」では、セキュリティインシデントが発生した際にサーバや端末の調査を行う「フォレンジックサービス」、平時においてログ管理に関する講習や証拠保全の訓練を実施する「事前アドバイザリーサービス」を提供しております。ぜひご活用ください。
6. 参考資料
[1] 令和6年におけるサイバー空間をめぐる脅威の情勢等について
[2] ランサムウェア事案調査報告書 (地方独立行政法人 岡山県精神科医療センター)
[3] 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書
[4] 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書
7.SSKのセキュリティ運用監視サービスおよび脆弱性診断サービスについて
急速なデジタルシフトやDXの進展により、サイバー攻撃の標的となりうる範囲は大きく広がっています。更にランサムウェアをはじめとするサイバー攻撃の脅威は増す一方となり、企業活動においてサイバーセキュリティ対策は必要不可欠な課題となっています。
SSKのセキュリティ運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視をおこなっています。セキュリティ対策として様々なセキュリティ機器やサービスを導入するケースも増加しており、当社ではUTM製品をはじめ、SASE、EDR等、新しいセキュリティソリューションも監視対象としてサービス展開を行っています。また、脆弱性診断サービスでは、診断経験豊富なセキュリティエンジニアがお客様のシステムを診断し、検出された脆弱性への対策をご提案しています。Webアプリケーションだけでなくネイティブアプリケーション診断やクラウドサービス設定診断も行っています。
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒151-0051
東京都渋谷区千駄ヶ谷5丁目31番11号
住友不動産新宿南口ビル 16階
TEL 03-4500-4255
FAX 03-6824-9977
