つるぎ町立半田病院のコンピュータウィルス感染調査報告書は学ぶことが多い

先月6月16日に、徳島県つるぎ町立半田病院のコンピュータウィルス感染について調査報告書がまとめられております。

それをあるきっかけで読んでみたところ、大変学ぶところが多かった為、特に印象に残った部分を記録しておきます。

病院側の素早い対応

報告書を読んでみて、まず病院側のランサム 事案発生後の対応が素早いと感じました。

これは報告書の中にも書かれているとおり、ランサム を想定したものではありませんが、大規模災害発生時に備えて、BCP をちゃんと作成されていたためだと思います。

構築ベンダー側のセキュリティ意識の低さ

一方で、病院のシステムを構築したベンダー側(A社、C社)は、システム構築時にいろいろと不手際があったことはいなめないかなという印象です。

特に構築時の対応としてまずいかなとおもったのは以下の3点です。

1.VPN装置(FortiGate E60)がインターネットのどこからでもアクセスできるようになっていた。
2.Active Directoryにてログオンにいくら失敗してもロックアウトされないようになっていた。
3.各サーバ/PCにてWindows Updateが止められており、またウィルス対策ソフトが導入されていなかった。

FortiGateの脆弱性を放置し続けたのは両者の責任ではないか?

ただ、運用時においてFortiGate E60の脆弱性をそのまま放置し続けていた点については、システム管理者が1人しかいなかったとはいえ、病院側の対応もまずかったのではないかと思います。

FortiGateの脆弱性は何度もニュースで流れていましたからね。

インシデント対応時のベンダー対応についてはいろいろ考えさせられる

1.VPN装置(FortiGate)を慌ててアップデートしてログを消失

慌てていたとは言え、この点はかなりまずかったですね。

この作業をしていた時点で侵入経路がわかっていなかったとはいえ、あわててファームウェアをアップデートしたということは、ここからの侵入の可能性があったわけです。
そうであれば、まずはログの確保が優先だったのではないでしょうか?

ファームウェアのアップデートでログが消えるということを知らなかったのかもしれませんが。

まず、抜線隔離し、ログ確保ということですね。

2.端末調査のためにサーバやPCを自社に送付させ、その輸送中に機器が壊れる

ここは送ってほしい気持ちはわかります。調査の設備的に、会社に送付してもらったほうが十分は調査ができるので。また現地のプレッシャーの中で調査するのは躊躇われるのも理解はできます。

ではどうすればよかったか。正直、精密機器専門の業者に輸送をお願いするくらいしか、私には思いつきませんでした。

3.ファストフォレンジックだがなかなか解析が終わらない、復旧したはずのサーバが復旧しきれていない

うーん、ここの技術的にはかなり難しいとおもうので一概に責められない気はしています。

ただ復旧したかどうかの確認は、もう少し手厚くやるべきだったのかもしれません。ネットワークにもどしてまた再発すると最悪なので。

4.ベンダーが何らかの方法で暗号化されたファイルを復号。本事案について攻撃者からの脅迫はなし・・・ここの関係は?

ここはベンダー側の説明があまりなかったということなので、今のところ判然としていないようですが、このレポートだけみると、なんらかの裏取引があったようにも見えてしまいます。

技術編のレポートも参考になる話がいっぱい

本編のレポート意外に技術編のレポートもありますが、このレポートも学びがたくさんありました。たとえば、以下の点です。

・ランサム の暗号化には楕円暗号も使われている
・ランサム の暗号化速度は1G〜10G/1分くらい
・暗号化を高速にするために先頭だけ暗号化していることが多い
・パスワードは16文字以上で利用する文字の指定をしないのがおすすめ
・RDPはログインログがデフォルトで残るが、それはやめたほうがいい
・RDPサーバは多要素認証できないので、その手前に多要素認証できる機器を置く

などなど。

正直、1度ざっと読んだだけでは気がつかないこともありそうなので、もう1回は読んでみたいと思っています。

2022.07.17 追記

もう一度技術編で気になっていた、封じ込め、復旧のところを読んでみました。

<封じ込め>
ここでは侵入者の締め出し観点で以下の対応を行うということだと思います。

1.VPN装置のLAN抜線(PCじゃないのでシャットダウンしてもよい?)やインターネット接続のホワイトリスト化(できれば全遮断。。。できるか?)
2.侵害された可能性のあるパスワードの変更
3.ADで不審なアカウント操作の確認などを行い、あやしいアカウントは削除
4.ログの分析と一元管理

<復旧>
1〜3あたりは普通やりそうですが、4、5まで出来たら完璧ですねー。

1.フォレンジックの実施
2.ウィルススキャン(封じ込め段階で実施するとまずいらしい。。メモリ上の痕跡や消えたり、ログが大量になってしまうから?)それでもだめなら初期化
3.データの復元
4.漏洩した可能性のあるデータの監視(ここは専門のベンダーに任せるしかないのかな。)
5.対応手順の更新(ここまでできるとすばらしいですねー。)

<参考サイト>

・コンピュータウイルス感染事案有識者会議調査報告書について(つるぎ町立半田病院)
https://www.handa-hospital.jp/topics/2022/0616/