先々週の独り言で呟いた、ランサムウェアの被害にあった病院ですが、段々と復旧の見通しが立ってきたようです。

先月末、ランサムウェアというサイバー攻撃の被害に遭い、電子カルテが一切使用できなくなった病院。
その後、遠隔地に保存していたバックアップデータからデータの復元を行っているらしく、徐々に復旧の道筋が見えてきているようです。
現在はまだ救急のみの対応のようですが、来年１月には、一般の診療も再開できる見込みとのこと。
院内のバックアップサーバは被害に巻き込まれていたらしいので、遠隔地にバックアップデータを保管しておいて本当によかったですね。

侵入経路についても、少しずつ調査が進んでいるようで、病院に給食を提供していた業者のサーバから侵入された可能性が高いとのこと。
その情報によると、給食を提供する業者と病院との間には「VPN（Virtual Private Network）」というネットワークを構築していたそうです。
「VPN」というのは、インターネットなど本来はオープンなネットワークを利用しつつ、特殊な通信技術を採用することで、企業のプライベートなネットワークのように利用する仕組みのことです。
今回は、この「VPN」に使われいた機器のファームウェア（OSのように、機器全体を制御するプログラムのこと）のバージョンが古く、そこにセキュリティ上の穴があって、侵入を許してしまったのではないかと推察されています。

もし、この情報が正しければ、今回の事件は、近年増えている「サプライチェーン攻撃」に該当するパターンになります。
「サプライチェーン」というのは、企業がサービスを提供するために必要な外部企業との連携を指します。
今回の例にあったように、病院では、入院患者さんに食事を提供するために給食を提供する企業との提携が必要ですし、診察に使う機械に関しては、医療機器メーカーとの繋がりも必要です。
このように、病院で適切な治療を行うためには、各分野の専門の企業との連携が欠かせません。

しかし、このような「サプライチェーン」の連携先の企業は、メインの企業に比べると、情報セキュリティが脆いことが多いとされています。
今回の例で考えると、病院という施設は、組織の資金力も守るべき情報資産も多いため、比較的堅牢なセキュリティ対策を行っていると考えられます。
一方で、給食を提供する企業では、個人情報のような守るべき情報資産は少ないでしょうし、情報システムとしてもそれほど複雑な構造が必要とは考えられません。
従って、セキュリティ対策が比較的手薄になりがちです。
そこに目を付け、セキュリティ対策の手薄なシステムから侵入し、ネットワークを辿って、直接侵入することが難しい本当のターゲットに侵入して攻撃を仕掛けるのが、「サプライチェーン攻撃」です。

この「サプライチェーン攻撃」、セキュリティを担当する側としては、『連携先の外部企業を踏み台にして侵入してくる』というのが悩みの種です。
自社内であれば対策の“実行”まで行うことができますが、外部の企業となると“依頼”までしかできません。
契約前であれば、契約内容の一部に盛り込むこともできますが、世間のセキュリティ意識の現状を見る限り、自社の競争力低下につながる懸念があります。
かといって、何も対応をしないと、今回の事件のように被害に巻き込まれてしまう。
実に悩ましいです。

もし私が、情報処理安全確保支援士として、今回の病院のようなネットワークのセキュリティ対策を任されたら、どうすべきなのでしょうか。
現在の世界情勢を鑑みるに、病院側には設備投資などを考える余裕はないでしょう。
また、感染症の流行期の忙しさを考えると、人間の操作ミスや手順に従ってられない状況なども十分に考えられます。

……いや、そもそもそういう非常事態はどんな企業でも起こりうるのでは？
だからこそ、BCP（Business Continuity Plan：事業継続計画）でも、情報セキュリティへの配慮が叫ばれているのでは？
では、何から守るべき？
事業の継続性？　営業上の秘密事項？　個人の情報？
そう簡単に答えの出る質問ではないですね。
それでも答えを決めて対策を考えていくのが、情報処理安全確保支援士の務めなのだと思いますが。

というわけで、今日は少し、ランサムウェアの事件のその後を追ってみました。
病院のシステムは復旧しつつあるとはいえ、まだ侵入経路や犯人は判明していません。
もしかしたら、というか恐らく、犯人はもう別の組織に目をつけていると思います。
同様の事件に巻き込まれないためにも、まずは自身の手の届く範囲から、情報セキュリティ対策を見直していくことが大切ですね。

それでは、サイバー犯罪の被害の経過を調べてみた、山本慎一郎でした。