Rまとめ

ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置 「Active Directory」のパスは5桁 [神★]

投稿日:

1 :神 ★:2022/06/16(木) 11:40:56.40 ID:oazDXNZD9.net
ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
島津 忠承 日経クロステック/日経NETWORK
2022.06.13

 調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。

脆弱性を放置、認証情報の流出にも気づかず

 調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。

 調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。

 さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。

 根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。

パスワードは最短5桁、マルウエア対策ソフトも停止

 脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/

235 :ニューノーマルの名無しさん:2022/06/16(木) 15:02:14.96 ID:vCaqwUBE0.net

病院のシステム課弱そうだもんな

46 :ニューノーマルの名無しさん:2022/06/16(木) 11:59:50.58 ID:MzsgY/wg0.net

ずいぶんとまあ杜撰だな

66 :ニューノーマルの名無しさん:2022/06/16(木) 12:11:39.38 ID:tg92uuJW0.net

逆に安全な桁数なんてあんのかね
敵も無限攻撃掛けて来るんやろ

294 :ニューノーマルの名無しさん:2022/06/16(木) 22:31:32.60 ID:/2vrVnTh0.net

日本って子供の教育とコンピューターの設定は誰かが無料でやってくれると思ってる糞みたいな衰退国

308 :ニューノーマルの名無しさん:2022/06/17(金) 02:42:16.62 ID:oXgl7ssM0.net

>>304
保守契約してたんか?
売った当時に最新化されてなかったなら欠陥品だが
後からのアプデは契約してないなら自己責任やで

41 :ニューノーマルの名無しさん:2022/06/16(木) 11:58:13.73 ID:tJ1yShdh0.net

無茶苦茶やん。保守管理する人が居ないのか?

326 :ニューノーマルの名無しさん:2022/06/18(土) 09:30:23 ID:WzpQPJdW0.net

結局専門のSEを各システム毎に設置しないと話にならんのよ。
組織内システムを把握してる人間が居ないと何度でも起こるよ。

265 :ニューノーマルの名無しさん:2022/06/16(木) 17:10:42.68 ID:BHCLAJo90.net

カルテシステムのメンテとは別のネット利用と報告書には書いてあったけど

142 :ニューノーマルの名無しさん:2022/06/16(木) 12:52:36.32 ID:rubUQqCK0.net

>>39
ワロタ

3 :ニューノーマルの名無しさん:2022/06/16(木) 11:42:07.22 ID:9BJ5lW8c0.net

Windows Updateも無効にしてた模様

21 :ニューノーマルの名無しさん:2022/06/16(木) 11:47:57.75 ID:XMig3hos0.net

システム運用者設置してなかったんじゃないの。作りっぱなし。
設置A社、復旧B社、アプリ保守C社以上3社だもん登場人物。

286 :ニューノーマルの名無しさん:2022/06/16(木) 20:18:14.96 ID:/RV+oNFa0.net

>>284
ん?、書いてなくてわからないのなら、最後の運用保守契約をしないでと売ったんだからではなくて、運用保守契約してないで、売ったんだったら、ずっと責任持てやってのは無理筋だろの間違いではないか?

あと、ベンダーがらみならユーザー登録されているのだから、致命的なバグあった時、はがきでも連絡しておかないとだめだろうと思うが?

280 :ニューノーマルの名無しさん:2022/06/16(木) 18:58:28.24 ID:0RUdErSy0.net

だってIT屋は結果に責任とか持たないからね、
「ボクラのスゴいアイディアにカネだして」だから、その結果どうなるかはおらしらねえと言う方

82 :ニューノーマルの名無しさん:2022/06/16(木) 12:20:58.81 ID:HP7Q91w20.net

>>18
あるとこはある
ただ、無いとこの方が多い

221 :ニューノーマルの名無しさん:2022/06/16(木) 14:28:11.26 ID:05GiKMkA0.net

C社は曝されてるけどA,B紗はどこだろう?

39 :ニューノーマルの名無しさん:2022/06/16(木) 11:57:54.47 ID:29KybMzw0.net

handaで5桁か

133 :ニューノーマルの名無しさん:2022/06/16(木) 12:46:49.78 ID:k7dB/67c0.net

ウチは15桁以上で大文字小文字数字記号全部含める決まりになってるな
以前は90日制限あったけど有効期限は無くなった

28 :ニューノーマルの名無しさん:2022/06/16(木) 11:52:00.67 ID:99LB7Rq00.net

そもそも、高度な個人情報などがあってとても高いセキュリティ性を求められる病院内
のITサービスを、VPN上に構築したんだろう?
こういうサービスを行うネットワークは、普通はインターネットと物理的に分けるけ
どね
複数拠点間でつなぐ必要性があったとしても、VPNじゃなくて専用線を使うだろ?

318 :ニューノーマルの名無しさん:2022/06/17(金) 12:41:25 ID:CwuA3DWJ0.net

>>15
終わってる

152 :ニューノーマルの名無しさん:2022/06/16(木) 12:59:44.13 ID:gpRG1Kh00.net

病院がなんでvpnつかうの

213 :ニューノーマルの名無しさん:2022/06/16(木) 14:15:35.59 ID:5zN4SgSl0.net

>被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。

これをやらなきゃよかったんだと半田が逆ギレする

232 :ニューノーマルの名無しさん:2022/06/16(木) 14:51:25.45 ID:2s/D7F+Z0.net

>>38
まぁこれやろな
こういうことをやってる事業所はけっこう多いと思うわ 特に中小

34 :ニューノーマルの名無しさん:2022/06/16(木) 11:54:50.98 ID:i/r/qXb10.net

こーゆうとこのシステム運用者なんてプリンタに紙が詰まった
とかの対応しか出来ないよ
俺のことだがなw

71 :ニューノーマルの名無しさん:2022/06/16(木) 12:14:25.39 ID:5x/L/ZLv0.net

>>56
主犯A社やなw

155 :ニューノーマルの名無しさん:2022/06/16(木) 13:02:51.57 ID:yZtndfv70.net

どっかの外国の銀行だかの技術者は、ランサムウェアの脅迫主に対してチ○コ画像送って応戦したみたいだなw

5 :ニューノーマルの名無しさん:2022/06/16(木) 11:43:17.48 ID:PIqRVoIG0.net

はんだってー

54 :ニューノーマルの名無しさん:2022/06/16(木) 12:05:05.10 ID:JdJlmj4l0.net

ヨシ!

321 :ニューノーマルの名無しさん:2022/06/17(金) 16:44:21.95 ID:hyoDhwKv0.net

>>309
繰り返すがITシステムは製品じゃない、当然性能や品質という概念がない。
言ってみれば現状有姿の不動産に近い、どう使うか?どんな結果をもたらすか?は全て使う側の責任。

120 :ニューノーマルの名無しさん:2022/06/16(木) 12:40:56.29 ID:6ZY5ciIQ0.net

これって,A社が保守契約あったのに
何もしてなかったということ?

281 :ニューノーマルの名無しさん:2022/06/16(木) 19:10:07.20 ID:kwuaC/2H0.net

セキュリティトークン持たせてワンタイムパスだな
アナログ最強

-Rまとめ

Copyright© 【 R速報 】-ニュースまとめサイト- , 2022 All Rights Reserved Powered by STINGER.