「人にあらず... 医療業界を狙うサイバー攻撃」
サイバー攻撃者は犯罪者です。情報漏洩事件が発生した際にやれ「対策が不十分だった」、「インシデント報告が遅すぎる」などと罵られ、被害者側の責任がクローズアップされますが、基本的に悪いのは攻撃者です。
最近では特に医療現場を狙ったサイバー攻撃が多くみられるようになったため、人命を脅かす犯罪を平気でやってのける攻撃者の振る舞いを見てそのことを再認識しました。
そこで、医療現場への攻撃事例とその対策についてまとめました。
1. 事例:国内外で発生した、医療現場を狙ったサイバー攻撃
直近で発生している医療現場に対するサイバー攻撃の事例を探してみましたが、国内外で枚挙にいとまがありませんでした。い
くつかピックアップしてご紹介します。
- UHS(Universal Health Services) -アメリカ
ターゲット:アメリカの大型病院 時期:2020年9月28日頃
まずは記憶に新しいUHSの件です。英米で約400もの医療施設を運営し、年間でトータル350万人ほどの患者を受け入れる巨大企業です。
ランサムウェアの被害に遭ってしまいました。その巨大な医療活動を支えるカルテ情報などを共有するシステムにマルウェアが拡散し、各地の医療施設で業務が麻痺してしまいました。
コンピュータは勝手にシャットダウンされ、診断もままならず、一部の病院では全ての業務を手動で実施せざるを得ない状況だったようです。*1
- ブルノ大学病院 -チェコ
ターゲット:チェコで2番目に大きい病院 時期:2020年3月14日頃
現場への影響という点においてはブルノ大学病院の事例も忘れてはいけません。時期もひどいですよね。UHSの件と同様にランサムウェアによってコンピュータが使用不能になり、予定されていた手術は延期になり新規患者の受け入れもできなくなったそうです。
完全復旧には数週間を要したとか。*2 患者の命のためなら病院側も身代金要求に応じるだろうという発想なのでしょうか。
このように病院の通常業務を実施不能にされてしまうインシデントはドイツやオーストラリアでも発生していました。
- 宇陀市立病院 -日本
ターゲット:日本国内の市立病院 時期:2018年10月頃
日本国内の事例です。上記の例ほど大規模ではありませんが、こちらもランサムウェアに感染してしまったインシデントです。
顧客の電子カルテシステムが狙われ、1133人分の患者のデータが暗号化され使用不能になりました。*3 電子カルテシステム導入後わずか2週間で起きてしまった出来事です。データの完全復旧には半年近くかかったようです。
復旧後、この病院が電子カルテシステムを使い続けたのか、紙による管理に戻ったのか少し気になるところです。ちなみに本件で使われたマルウェアはGandCrab(ガンクラブ)と呼ばれるランサムウェアで、ウイルス対策ソフトの状態が最新でなかったことが直接の感染原因でした。
- COVID-19ワクチン「コールドチェーン」 -アメリカ
ターゲット:COVID-19ワクチンを-70℃以下に保ち輸送するサプライチェーン 時期:現在(2020/12/24)
最後に今まさに起きている、あるいは起きることが非常に懸念されている話題についてです。攻撃者は無慈悲なので、世界中が協力して作り上げようとしている安心をも奪おうとしています。
COVID-19ワクチンの輸送を担うサプライチェーンへの攻撃を企てているらしいです。*4
COVID-19ワクチンの輸送には低温環境が必要で、"コールドチェーン"と呼ばれる特別な輸送ネットワークが必要になります。
そこが狙われていると観察したIBMが警鐘を鳴らしています。真偽は不明ですが、やはりコロナ関連の情報には大きな価値があるため、狙われてしまうようですね。
2. 対策:CISA・FBI・HHSのアドバイザリから見る必要なセキュリティ対策
CISA・FBI・HHSのアドバイザリにある、医療分野における必要なセキュリティ対策をご紹介します。*5
CISA・FBI・HHSは、攻撃者がTrickBotやBazarLoaderマルウェアを用いて保健所をはじめとした公衆衛生機関に対してランサムウェアを用いて医療活動の停止を狙う傾向が高いとしています。
TrickBotは、資格情報の窃盗、メールアカウントのハック、マルコードのダウンロードなど様々な機能を持ち、今もなお進化し続けています。
また、TrickBotから展開されるRyukランサムウェアによる医療機関への実被害が海外でも報告されています。
BazarLoaderはBazarBackdoorとともに用いられることがあり、悪意のあるペイロードをダウンロードするアクティビティと、永続化を狙うアクティビティの2枚岩です。
ばらまき型のフィッシングメールで配信され、身近な会話やビジネスを装った内容から騙すケースが多いです。
これらのマルウェアの特徴として、侵入するための手口が巧妙であり、最終的にはランサムウェアによって医療活動の停止を引き起こします。
そこで、第一に考えたいのは、攻撃被害に遭ったとしても医療活動を持続できる、あるいは活動を一時停止してもすぐに再開できるようにすることです。
よって、本アドバイザリでもこのような観点からのセキュリティ対策が紹介されていました。
紹介されていた対策を以下の3つにカテゴライズしました。
ⅰ. 攻撃への事前予防により、被害を最小限に抑え、医療活動を持続する
ⅱ. 攻撃されたとしても、他のPCやシステムに与える影響を最小限にする
ⅲ. 攻撃によりシステムが一時停止しても、ただちに復旧し、医療活動をすぐに再開できる
この3つのカテゴリにある対策のうち、特に重要そうなものをピックアップしてみます。
ⅰ. 攻撃への事前予防により、被害を最小限に抑え、医療活動を持続する
- OSやアプリケーションのアップデートにすぐに対応する
- VPNをはじめとしたネットワークシステムのパスワードを定期的に変更する。同じものは再利用しない。
- 未使用のRDPポートを無効化し、不正アクセスされないようにする。また、不要なポートは閉じる。
- 許可されているアプリケーションを使用時のみ、リモートアクセスを許可するように構成する。
- ユーザアカウントを監査し、適切なアクセス権限となっているかを確認する。
- サイバーセキュリティコミュニティに所属して、最新のサイバー攻撃や対策に関する情報を入手する。(日本の場合、医療ISACが該当します。)*6
ⅱ. 攻撃されたとしても、他のPCやシステムに与える影響を最小限にする
- RDPポートの通信を監視し、不正アクセスを直ちに検知する。
- ログを監査し、不正なアカウントが作られていないかを確認する。
- ネットワークセグメンテーションを実施する。例えば、機密データは、攻撃の起点となるメールを利用できる環境とは同じネットワークに所属させないようにする。
- マルウェア対策ソリューションを使用する。
ⅲ. 攻撃によりシステムが一時停止しても、ただちに復旧し、医療活をすぐに再開できる
- 患者情報のデータベース、電子カルテなどから特に重要な資産を特定し、バックアップを作成する。バックアップはオフラインのセグメントに格納することを推奨する。特に、ランサムウェアはバックアップを見つけて削除しようとするため、オフラインであることが重要である。また、バックアップを狙われることもあるため、暗号化することも大事。
- バックアップは3つ作成し、内2つは異なるメディアに格納し、さらに内一つはオフライン環境とする。
- バックアップから復旧する際に、プライマリシステムが上手く動作しない場合は、予備のシステムを使って復旧する。
- サイバーインシデント対応計画を作成し、インシデントへ適切に対応できるようにする。
- 重要システムに長期間アクセスできなくなる可能性を予測し、何が必要であるかを計画する。
ex) ・重要な患者の情報をハードコピーし、保存/管理する。
・他の医療機関と連携し、緊急医療が必要な患者をケアできるようにする。 - プライマリのネットワークが使用できなくなった場合に、最低限の運用が継続できるように、物理的に隔離されている別のネットワークを構成する。
- 古いデバイスが存在する場合は、最優先でランサムウェアなどへの対策を行う。
他の分野にも共通する一般的な対策も含まれていますが、特に医療の分野では復旧のためのバックアップが最も重要なのではないかと思います。
また、CISAらが警告しているTrickBotやBazarLoaderなどは未知のマルウェアとして活動することから、シグネチャ型といった旧来のAVソフトだと対応しきれない場合がありますので、未知のマルウェアに対応できる非シグネチャ型のEPPを活用することが重要になります。
日本ではコロナの影響によりオンラインの診療システムが加速的に普及していることから、インターネット越しの攻撃にも注意する必要が出てきたため、上記のネットワーク部分の対策も重要になってくると思われます。また、日本の医療ISACではメールセキュリティとしてDMARCを推奨しています。これは世界的も推奨されているようです。
*7CISAのアドバイザリにもあった通り、メールを通じて侵入するTrickBotやBazarLodarに向けての対策であると思われます。
今後も医療分野に対して攻撃が継続するため、ネットワーク・メール・エンドポイントなどへのセキュリティ対策の強化が急務です。
我々からもお助けできるセキュリティ領域がいくつかありますので、お困りの際は是非ご相談ください。
セキュリティニュース(国内編)「2020年の10大セキュリティ事件、1位はドコモ口座の不正出金」
2020年も今月で終わりますね。10大セキュリティ事件という、流行語大賞的な年末らしい記事があったので取り上げてみました。
みなさんの記憶に残っているあの事件はランクインしているでしょうか!?(他記事1本)
1.2020年の10大セキュリティ事件、1位はドコモ口座の不正出金
マカフィーさんが調査した、2020年で記憶に残っている事件ベスト10です。*8 被害の大きさや影響度合いというよりも認知度の高さ重視のランキングです。当メルマガでも取り上げてきたものがチラホラ。
1位「ドコモ口座の不正出金」
2位「カプコンのサイバー攻撃」
3位「ディープフェイクポルノ」
4位「給付金詐欺フィッシング」
5位「米海軍TikTok禁止令」
2020年らしいラインナップですね。本人確認の軽視にランサムウェア、AI技術にコロナ禍の心理攻撃と。令和生まれの女子高生にTikTokをバカにされる頃にはAI技術がものすごく発展し、なにが本物なのか分からない世界になるのでしょうか。
それともAIで作られたものを見破る技術もすこぶる発達するのでしょうか。いずれにせよ、殺伐としていてちょっと嫌です。
2.不正アクセスでPeatix「最大677万件」顧客情報が流出...損害賠償はどうなる?
イベント管理サービスを手掛けるPeatix(ピーティックス)の情報漏洩事件です。*9
数百万件の漏洩では、「まぁ大したことないか」なんて思ってしまう麻痺した私です。
ドコモ口座の時に「私はドコモ口座もってないから関係ないわ」と勘違いされていた方が多かったことに少し似ていますが、Peatixを利用していることを忘れている、もしくはそもそも知らない、意識していないというケースが多かったそうです。私もそうでした。他の人に言われるまで気づきませんでした。
そのせいでパスワードの変更などの必要な対処ができてない人、いるのではないのでしょうか。お気をつけ下さい。
セキュリティニュース(海外編)「Googleホワイトハッカーが発見。「ワーム可能なWi-FiエクスプロイトによるiPhoneのハッキング」
デバイスを直接攻撃する手法として、Wi-Fi通信を狙う手法の報告が最近増えてきていますが、GoogleのホワイトハッカーがiOSデバイスを直接攻撃することできるWi-Fiの脆弱性を発見し、YouTubeにデモ動画を投稿しました。
なかなかにインパクトのある動画でしたので、この手法の概要をご紹介します。(他記事1本)
1.Googleホワイトハッカーが発見。「ワーム可能なWi-FiエクスプロイトによるiPhoneのハッキング」
GoogleのホワイトハッカーがiOSデバイスに対してWi-Fi経由で制御をすることができる脆弱性を発見し、デモ動画をYouTubeで公開しました。*10
この脆弱性により、iPhoneなどで利用できるAirDropやAirPlayなどで使用される機能AWDL(Apple Wireless Direct Link)に紐づくWi-Fiドライバに対して、バッファオーバフローを引き起こすことができます。
これにより、写真や電子メール、メッセージなどあらゆるものをリアルタイムで監視することができるようになるそうです。デモ動画では、付近のiOSデバイスを強制的に再起動させるといった、なかなかに恐ろしいことが行われています。*11
この脆弱性は5月の修正パッチで既に修正されていますので、ソフトウェアバージョンが最新であれば問題ありません。
Kr00k(クルーク)をはじめとしたWi-Fiの脆弱性が新しく発見されることが最近多いように見受けられますので、Wi-Fiセキュリティは今後も要注目です。
2.Egregorランサムウェアがバンクーバの公共交通機関を強襲
12月1日に、バンクーバ(カナダ)の公共交通機関のネットワークインフラを担うTranslink社がEgregor(エグレガー)ランサムウェアの被害を受けたことにより、公共交通機関のオンラインチケットが購入できない・入場ゲートでICカードが使えなくなる被害が出た模様です。*12
EgregorランサムウェアとはMazeやSekhmetと同様に2重脅迫を行う流行りの手法を用いているランサムウェアです。
もともとはゲーム業界を狙うランサムウェアのようですが、交通機関にまで手を出してきたようです。2重脅迫だけでなく、Microsoft Defenderおよびその他セキュリティソフトの無力化を図る機能も同じように有しています。
ただ、今回の攻撃では脅迫文をプリンタから印刷して作成するような、奇妙な行動も確認されました。
別のランサムウェアでは、脅迫文を音声で読み上げて恐怖感を煽ることで、身代金支払いの成功率を上げようとする試みもありました。今回も同様のことを狙っているのでしょうか?
Egregor全般について、Cybereason社のレポートによるとEgregor本体のダウンロードのためにTrickBotや、emotetに取って代わる形で報告が増えてきているicedIDが使用されているみたいです。*13
どちらのマルウェアローダもハッシュ値を毎回変化させるため、シグネチャ型AV(アンチウィルス)では検知が難しいことが認知され始めてきています。
そのため、これからはEgregorをはじめとした強力なランサムウェア被害を防ぐためにも、非シグネチャ型のAVまたはEPP(エンドポイントプロテクション)が必須になります。
「2020年メルマガご愛読のお礼と2021年に向けて!」
<ライターより>
弊社からのセキュリティメールマガジンの配信は今年が初めての試みでしたので拙い点もあったかと思いますが、読者の皆さんに有益な情報をご提供できていれば幸いです。
今年はCOVID-19の影響により、リモートワークや会食の中止など皆さんのワークスタイルにも大きな変化があったと存じます。かくいう我々も、年に数回は訪れていたイスラエルへの海外出張がめっきりなくなりました。現在も厳しい入国条件が続いておりまして、滞在が1週間以内に限定されるため、現地でのビジネス活動はロクにできない状態です。
一方、サイバー攻撃のアクティビティや手法が二転三転と目まぐるしく、対応する皆さんも大変な1年だったと思われます。メールマガジンの内容も必然的にCOVID-19に関する話題も多く取り上げることになりました。話題に困ることはありませんが、それでも早く収束してほしいものですね。
読者の皆様、本年はIWIのセキュリティメールマガジンをご愛読いただきありがとうございました。
来年も皆さまにセキュリティニュースの最新情報やトレンドなどをご提供する所存ですので、引き続きお付き合いください。
<事務局より>
早いもので2020年最後の月となり、メルマガも11回を迎えることができました。今年の2月にスタートし、約1年間、ご愛読くださいました皆様に感謝申し上げます。
年明け早々にはVol.12の配信を控え、2021年もますます皆様のお役に立てるような最新のセキュリティ情報をお届けできるよう、メルマガ編集メンバー一同、奔走したいと思います。また、インテリジェントウェイブではメルマガと共に皆様のお役に立てるようなオンラインセミナーの開催を、2021年も引き続き予定しております。最新情報は随時、メルマガでもお知らせいたしますので、ぜひご覧いただければと思います。
最後になりましたが、すてきなクリスマスと良いお年をお迎えください。
■ 関連リンク・引用
*01: Universal Health Services hit by cyberattack, International Business, World News & Global Stock Market Analysis, 2020/12/18
*02: コロナ対応のチェコ病院でサイバー攻撃の衝撃, 東洋経済オンライン | 経済ニュースの新基準, 2020/12/18
*03: ランサムウエアで電子カルテが利用不能に、復旧が長引いた理由とは, 日経クロステック(xTECH), 2020/12/18
*04: Hackers target groups in COVID-19 vaccine distribution, says IBM, ロイター | 経済、株価、ビジネス、政治ニュース, 2020/12/18
*05: Ransomware Activity Targeting the Healthcare and Public Health Sector , CISA, 2020/12/18
*06: 医療ISAC ? Medical ISAC Japan, 医療ISAC ? Medical ISAC Japan, 2020/12/18
*07: 医療ISACはメールセキュリティ対策としてDMARCを推奨します, 医療ISAC ? Medical ISAC Japan, 2020/12/18
*08: 2020年の10大セキュリティ事件、1位はドコモ口座の不正出金 マカフィー調べ, IT総合情報ポータル「ITmedia」, 2020/12/18
*09: 不正アクセスでPeatix「最大677万件」顧客情報が流出...損害賠償はどうなる?(弁護士ドットコム), Yahoo!ニュース, 2020/12/18
*10: Google Hacker Details Zero-Click 'Wormable' Wi-Fi Exploit to Hack iPhones, The Hacker News - Cybersecurity News and Analysis, 2020/12/18
*11: AWDL Broadcast Denial Of Service , YouTube, 2020/12/18
*12: Vancouver Metro Disrupted by Egregor Ransomware , Threatpost | The first stop for security news, 2020/12/18
*13: Cybereason vs. Egregor Ransomware, Cybereason, 2020/12/18
