はじめに
現在、多くの業界で、IT機器の脆弱性対策(セキュリティパッチ適用)の義務化が進められています。特に、医療機関では複数の医療機関でランサムウェア攻撃による甚大な被害が発生したため、脆弱性対策の導入が推進されています。
厚生労働省は、「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」を作成・公開しました。このチェックリストを基に、研修を受けた調査員が全国の医療機関を訪問し、正しいサイバーセキュリティ対策が実施できているのかを確認しています。
チェックする対象は、端末PC、サーバー、NW機器と幅広く、現在できていない場合は、「いつ達成するか」を明確にすることが求められます。これらの対象には、電子カルテといった顧客情報を扱うアプリケーションを運用する閉鎖環境(インターネット接続を行わない)の端末も含まれています。こういった動きは、今後、より多くの業種に広がることが予想されます。
しかし、なぜ、インターネット接続を使用しない端末まで、脆弱性対策を求められているのでしょうか。本ブログでは、脆弱性対策が必要となった理由、経緯、そして、対策を急ぐ医療機関が選定すべき脆弱性対策製品の機能について見ていきます。
閉鎖環境の端末PCに脆弱性対策が必要になった理由
「電子カルテを始めとする顧客情報を扱うサーバーや端末PCは、インターネットに繋いでいない。だから、脆弱性対策をしていなくても、サイバー攻撃を受けることはない」という安全神話は、昨今のサイバー攻撃の前に脆くも崩れ去りました。
むしろ、脆弱性対策をしていない閉鎖環境のサーバーや端末PCは、サイバー攻撃者にとって格好の的でしかありません。なぜなら、攻撃者が使用するマルウェアは、侵入先にある端末の持つ脆弱性を悪用して感染するためです。閉鎖環境にある端末は、侵入されることを想定していませんから、初期パスワードのまま運用している端末も数多くあります。攻撃者にとっては、宝の山に見えることでしょう。医療機関の内部ネットワークに侵入しさえすれば、顧客情報が保管されている端末へ簡単にマルウェアを感染させられるというわけです。
この画像は、医療ISAC 代表理事の深津 博氏が日米合同ワークショップで発表された資料の一部です。2022年に発生した大阪急性期・総合医療センターのランサムウェア被害の実態がまとめられています。
大阪急性期・総合医療センター(以下、医療センター)のサイバー攻撃は、医療センターのサプライチェーンである委託業者のネットワークへ侵入されたことから始まりました。サイバー攻撃者は、委託業者のVPN装置から内部ネットワークへ侵入しました。委託業者のVPN装置は、残念ながら、脆弱性が放置されていたのです。
委託業者のサーバーをマルウェアに感染させた攻撃者は、委託業者が持つサプライチェーンのネットワークへ侵入を試みました。委託業者の端末から、医療センターの端末へRDP接続を開始したのです。この時、医療センターの端末は、早々に侵入を許してしまいました。なぜ、医療センターの端末は簡単に侵入されてしまったのでしょうか。その理由は、該当端末のアカウントに、ロックアウト設定をしていなかったことです。ロックアウト設定とは、ログインパスワードを規定の回数間違えると、ログインを一定時間制限する機能です。この設定がなかったため、サイバー攻撃者はパスワードの総当たり攻撃をしかけることができたのです。
サイバー攻撃者が医療センターの内部ネットワークに侵入した後、端末PCやサーバーへのマルウェア感染は非常に速いスピードで進みました。この迅速なマルウェア感染の理由は、端末PCやサーバーのパスワードが、初期設定のまま運用されていたためです。その結果、医療センター内の重要なサーバーは、攻撃者に簡単に掌握されてしまいました。閉鎖環境にあった端末PCやサーバーは脆弱性対策がされていなかったため、攻撃者の用意したマルウェアに次々と感染してしまったのです。サイバー攻撃者が委託業者のVPN装置に侵入してから、医療センターのサーバーがマルウェアに感染するまでの時間は、わずか38分でした。
攻撃にばかり目が向きがちになりますが、閉鎖環境の端末PCやサーバーには、何もセキュリティ対策がされていなかったのでしょうか。実は、そうではありませんでした。各端末に、アンチウイルス製品が導入されていたのです。しかし、頼みのアンチウイルス製品は、攻撃者の侵入後、わずか3秒で無効化されていました。
では、不審な通信をアラートする機能は持っていなかったのでしょうか。実は、医療センターは不審な通信を監視する仕組みを持っていました。なぜ今回の攻撃に対して、アラートが出なかったのでしょうか。それは、外部接続(インターネット接続)できる領域のみを監視していたためです。外部接続ができる領域は、画像の左上にある、緑の点線で囲まれた場所です。今回の攻撃がサプライチェーンのVPN装置を経由したことで、攻撃者は医療センターの外部接続ができる領域を使いませんでした。その結果、アラートがあがることもなく、閉鎖環境に大規模なマルウェア感染が発生してしまったのです。
大阪急性期・総合医療センターの被害から見る、サイバー攻撃の被害を防ぐために重要なポイントは以下の通りです。
- VPN装置の脆弱性対策
- サーバー・端末PCの脆弱性対策
- RDPのロックアウト設定の実施
- 端末のID、パスワードの定期的な変更
VPN装置の脆弱性対策は言わずもがな、攻撃の入り口となるセキュリティホールをふさぐことに繋がります。攻撃の入口はVPN装置となることが多いですが、医療機関の機密となる顧客情報や検査記録は、サーバーや端末PC内に保管されています。それらから機密情報を盗み取り、ファイルを暗号化するためには、端末PCとサーバーへマルウェアを仕掛け、攻撃者のサーバーとやり取りをさせる必要があります。それらのマルウェアは、サーバーや端末PCの持つ脆弱性を利用して仕掛けられることが多いため、サーバーと端末PCの脆弱性対策は必須となります。
ロックアウト設定、サーバー・端末PCのID/パスワードの定期的な変更も、サイバー攻撃者の侵入を防ぐために重要な要素です。サイバー攻撃者は、攻撃に時間がかかるほど、撤退する傾向があります。サイバー攻撃者に少しでも時間をかけさせることで「ここまで苦労するなら、他の組織を攻撃しよう」と諦めさせることができるのです。
上記の教訓から、医療機関では、VPN装置、端末PC、サーバーへの脆弱性対策が義務化されました。
医療機関のセキュリティ対策の実態
この結果を受けて、医療機関に一気に脆弱性対策が広がったか…というと、現場には多くの課題が山積しているのが現状です。こちらの画像は、医療機関におけるサイバーセキュリティの厳しい現状をまとめられたものです。
現場では、予算・人材の不足に比例したセキュリティ知識の不足が発生しており、できる限り少ない予算で、管理者への負担が少ない、或いは管理者フリーのサイバーセキュリティ対策が求められています。
脆弱性対策を急ぐために必要なこととは
予算・人材・セキュリティ知識が足りない状況でも、医療機関は脆弱性対策を急がなければなりません。なぜなら、厚生労働省の研修を受けた調査員が来た際に、「脆弱性対策をこのように実施しています」と回答する必要があるからです。
更に、2021年4月から2024年5月にかけて27件のランサムウェア被害(疑い・未発表含)が医療機関で発生しており、VPN機器の脆弱性未対策が原因での侵入事例が14/27件、バックアップデータまで暗号化され復旧が困難になった事例が5/27件となっていることから、「明日は我が身」の状況が常に続いていることも、大きな不安材料となっています。
このような現状を持つ医療機関では、どのような脆弱性対策ツールを選定することが望ましいのでしょうか。
求められる脆弱性対策ツール① 手動での管理が不要
端末一台一台に手作業でセキュリティパッチを当てたり、その結果を紙やExcelに入力を行って管理している状況では、「組織内の端末すべてを、脆弱性対策できている状況」とは言いにくいのが現状です。なぜなら、重大な脆弱性が見つかった際に、即座に対応がしづらいからです。
重大な脆弱性は、いつ見つかるか分からないと言われています。みなさんは、このような経験がないでしょうか。
『スマートフォンを使用していたら、ある日突然、アプリが強制的に落ちてしまった。なぜ落ちたのか理由は分からないが、それから時々、アプリが落ちる現象が発生する』
これも、一つのバグ(=脆弱性の疑い)と言えます。このような情報が開発元に集まり、メーカーが検証を行います。そして、端末に悪影響を及ぼす可能性があることが確認されると、脆弱性と判断されます。メーカーは、見つかった脆弱性に対する修正プログラム(セキュリティパッチ)を作成し、情報の公開を行います。その公開時期は、事前に決まっているものではありません。中には、サイバー攻撃の踏み台にされて初めて、脆弱性が確認される場合もあります。つまり、脆弱性はいつ見つかるかわからないと言えます。医療機関の休診日に見つかる可能性もありますし、システム担当者の休暇中に見つかる場合もあります。
運よく脆弱性情報の公開日に気づけたならどうでしょうか。手動でセキュリティパッチを更新している場合、やはり即時対応の実施に多くの困難が発生します。各部署への伝達や端末の回収依頼、回収できなかった端末の捜索、報告資料の作成などの作業が発生するためです。また、業務時間内に端末が使用できない状況に陥ると、医療行為に影響が出てしまいます。
そのため、脆弱性対策は、セキュリティパッチの適用を自動化できるシステムに任せた方が良いといえるでしょう。パッチのダウンロードや、適用を自動化でき、ダッシュボードから「いつ」、「どの端末」に、「何のパッチを更新したか」が見えるため、報告も簡単になります。
求められる脆弱性対策ツール② 複数のポリシー設定がしやすい
これは医療機関だけに言えることではありませんが、部署が分かれている組織は大抵、部署ごとに特長を持っています。「セキュリティパッチをあてるなら朝の時間が良い」と考える部署があれば、「セキュリティパッチをあてるなら夜の時間でなければ困る」と考える部署もあります。また、真夜中に実施を希望する部署もあるでしょうし、特定の点検日を決め、その1日だけで全て終わらせてほしいと考える部署もあります。
これらの事情を鑑みますと、各部署のサーバーや端末PCに対して、「別々のポリシー」を「複数個」設定できるツールが有効といえます。そして、OSの更新には再起動がつきものです。OS更新や再起動のタイミングを、「日付ごと」、「曜日ごと」、「時間を指定」というように、スケジュールで管理できるツールが理想といえるでしょう。
求められる脆弱性対策ツール③ 閉鎖環境の運用手段がある
医療機関において、顧客情報に関わる端末は、インターネットに接続しない閉鎖環境に置かれていることがあります。そういった環境の端末においても、脆弱性対策が求められます。
この場合は、外部接続環境と、閉鎖環境を中継するプロキシサーバーを介して、安全に脆弱性対策ができるツールが求められます。
求められる脆弱性対策ツール④ 報告が簡単
脆弱性対策の状況を報告する際、一目見ただけで実施状況が分かることも、大切なポイントの一つです。「いつ」、「どの端末で」、「何の更新を行っているか」が一つの画面で確認できると、誰が見ても状況が分かります。また、CSVファイル等に結果をエクスポートする機能があれば、紙資料として提出する選択肢が生まれます。
「端末ごとのセキュリティパッチ更新状況」や「セキュリティパッチ名ごとの更新状況」といったソート機能も、システム管理者にとって役立ちます。セキュリティパッチの適用に失敗している端末を洗い出すことで、端末の持ち出しがないか、不具合が発生していないかをピンポイントで確認できるためです。このように、組織の内情ににあった報告ができるツールを選択することが求められます。
求められる脆弱性対策ツール⑤ サポートアプリケーションが豊富
セキュリティパッチは、OS更新だけでなく、サードパーティアプリケーションにも存在します。例えば、私たちがPDFファイルを見る時、文書ファイルを使用する時、マクロを実行する時、インターネットで調べ物をする時にも、サードパーティアプリケーションを使用しています。
サイバー攻撃者は、こうしたサードパーティアプリケーションの脆弱性情報も調べ上げており、OSの更新状況と共に、サードパーティアプリケーションのパッチ更新状況も確認しています。そして、脆弱性が放置されている端末に、マルウェアを感染させようとします。そのため、多くのサードパーティアプリケーションの更新に対応できる脆弱性対策ツールを選定する必要があります。
また、サポート範囲外になっているサードパーティアプリケーションにも対応できる手段を持つ脆弱性対策ツールもあります。そういったアドオン(追加機能)を持った脆弱性対策ツールの運用ができると、より安全性が増します。
まとめ
医療機関は今、度重なるサイバー攻撃によって、早期の脆弱性対応を求められています。しかし、医療機関の多くは、人手も予算も足りていないのが現状です。管理工数を削減し、限られた予算の中で安定したセキュリティパッチ更新を行うには、脆弱性対策ツールの導入が必要と言えます。その中でも、「手動での管理が不要」、「複数のポリシー設定がしやすい」、「閉鎖環境での運用手段がある」、「報告が簡単」、「サポートアプリケーションが豊富」なツールを選定することで、医療機関の本来の業務である、人の命を守る取り組みに集中することができます。
Heimdalパッチ・脆弱性管理とは
Heimdalパッチ・脆弱性管理は、求められる脆弱性対策ツールの条件である「手動での管理が不要」、「複数のポリシー設定がしやすい」、「閉鎖環境での運用手段がある」、「報告が簡単」、「サポートアプリケーションが豊富」を満たした脆弱性管理ツールです。また、お求めやすい価格でのご提供が可能ですので、パッチ管理製品に予算や人手を割けない際は、ぜひ一度ご検討ください。
ここまでお読みいただき、ありがとうございました。
引用資料
医療ISAC 日米合同ワークショップ 深津博氏 発表資料 医療ISACウェブサイト
医療ISAC日米合同ワークショップ ジュピターテクノロジー 発表資料
