徳島県つるぎ町の基幹病院である町立半田病院が2021年10月にランサムウェア(身代金ウイルス)によって、8万5000人にも及ぶ患者の電子カルテが失われるなど甚大な被害に見舞われます。
国際的サイバー犯罪集団「LockBit」により犯行声明も出ましたが、半田病院ランサムウェアの経緯は?原因・感染経路はFortinet?
LockBit 2.0が半田病院ランサムウェアの経緯は?
サイバー攻撃に狙われる「日本の医療システム」のヤバイ実態
「半田病院の被害の場合、おそらくシステムの脆弱性を狙って無差別に攻撃した中で、あたってしまったのだと思います。
今回VPN(ヴァーチャルプライベートネットワーク)で医療専用のネットワークに脆弱性が見つかったシステムが含まれていて、パッチを適用していなかった可能性が高いと言われています。
今回の犯行は、いま最も勢いがある『LockBit 2.0』という犯罪プロ集団によるものです。ランサムウェアのランサムは身代金という意味ですが、コンピューターのシステムにウイルスを送り込むことで、データを暗号化して見られなくし、暗号化を解除してほしければ身代金を払えと要求してくるのです。
https://news.yahoo.co.jp/articles/bddbbec71cb34a773bb05d0393404fe0effcd29b
徳島県つるぎ町の町立半田病院でランサムウェア攻撃が発覚したのは、十数台のプリンターが、一斉に印字を始めたことから。
「Your data are stolen and encrypted」(あなたのデータは盗まれ、そして暗号化された)
「The data will be published…」(データは公開されるだろう)
という、国際的サイバー犯罪集団「LockBit」による犯行声明が印刷されました。
内容は「身代金を支払わなければ、データは公開される」といったもので、犯行側は指定したURLにアクセスして、交渉のテーブルにつくよう求めていました。
データが勝手に暗号化されパソコンの電子カルテの患者の情報が全くみえない状態になり、バックアップデータもウイルスに感染しており病院は混乱に陥いります。
病院は発生直後から「サイバーテロ対策本部」を立ち上げ、対応に当たり、その後は約2億円をかけ新システムに切り替えゼロからカルテを再構築することになっています。
半田病院ランサムウェアの原因・感染経路はFortinet?
半田病院がランサムウェアによる攻撃を受けた直接的原因は、病院システムにアクセスするためのIDとパスワードがネット上に漏れていたことです。
半田病院ではシステム管理を外部委託していたので、委託先の誰かがシステムにアクセス可能な情報(ID、パスワード)を漏洩したか、意図せず漏洩してしまった可能性がありました。
ただその後の調査で明るみになったのが、アメリカ・Fortinet(フォーティネット)社製のVPN機器の脆弱性(セキュリティホール)でした。
VPN回線を制御するための機器ですが、セキュリティホールが見つかったことから同社からは配布する修正プログラムが配布されていました。
ところが「Malicious Actor Discloses」というハッカー(ハッキング集団)によって、Fortinet(フォーティネット)社がハッキングされていない、まだVPN機器にパッチを当てていないを利用者のリストがj流出。
世界で87000台もあったようですが、そのうちの一つが日本の徳島県つるぎ町にある町立半田病院だったようです。
意図的に半田病院を狙ったわけではなく、攻撃対象を無作為に探していたハッカー集団側が、弱点のあるシステムをみつけ、侵入できた先が、結果的に半田病院だったとみられます。