ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置　「Active Directory」のパスは5桁 [神★]

1 ：神 ★：2022/06/16(木) 11:40:56.40 ID:oazDXNZD9.net

ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
島津 忠承 日経クロステック／日経NETWORK
2022.06.13

　調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。

脆弱性を放置、認証情報の流出にも気づかず

　調査報告書は主に3つの要素で構成する。（1）半田病院の被害の経緯とセキュリティー対策の実態、（2）有識者会議の委員が指摘したマネジメントや技術などの課題、（3）課題の克服に必要な対策ーーである。（3）の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。

　調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。

　さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。

　根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性（CVE-2018-13379）を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。

パスワードは最短5桁、マルウエア対策ソフトも停止

　脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft（マイクロソフト）のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/

2 ：ニューノーマルの名無しさん：2022/06/16(木) 11:41:26.01 ID:OiesqS9Z0.net

UTMのアップデートしなかったのかよ

3 ：ニューノーマルの名無しさん：2022/06/16(木) 11:42:07.22 ID:9BJ5lW8c0.net

Windows Updateも無効にしてた模様

4 ：ニューノーマルの名無しさん：2022/06/16(木) 11:42:41.51 ID:gXe0EFWK0.net

俺もよくスマホ観てるとVPNを更新して下さい。って出るから毎回OKタップしてるわ。

5 ：ニューノーマルの名無しさん：2022/06/16(木) 11:43:17.48 ID:PIqRVoIG0.net

はんだってー

6 ：ニューノーマルの名無しさん：2022/06/16(木) 11:43:19.32 ID:wXzu5qmY0.net

リスト公開じゃなく、連絡しよよ

7 ：ニューノーマルの名無しさん：2022/06/16(木) 11:43:34.89 ID:cjhqn1jO0.net

ヨシ!

8 ：ニューノーマルの名無しさん：2022/06/16(木) 11:43:56.61 ID:YAfr3w+x0.net

SSL-VPNの脆弱性か

9 ：ニューノーマルの名無しさん：2022/06/16(木) 11:44:04.34 ID:mLu+HUof0.net

5桁総当りで突破できるとかざるすぎ

10 ：ニューノーマルの名無しさん：2022/06/16(木) 11:44:32.84 ID:GL5186uX0.net

> 8万7000台の装置の認証情報が流出したとフォーティネットが公表し
ここが一番悪いんだけどな

11 ：ニューノーマルの名無しさん：2022/06/16(木) 11:44:38.80 ID:f4a4eHB30.net

ノートン入れてるけど、「VPNに入れ　○○〇〇円で入れますぜイッヒヒ」とか画面にでるけど
入った方がいいのん？

12 ：ニューノーマルの名無しさん：2022/06/16(木) 11:44:44.20 ID:DSWSnm6A0.net

passwordですら8桁

13 ：ニューノーマルの名無しさん：2022/06/16(木) 11:45:46.08 ID:99LB7Rq00.net

会社名を出せよ

14 ：ニューノーマルの名無しさん：2022/06/16(木) 11:46:24.19 ID:4GdHkIyF0.net

銀行はいつまで暗証番号4桁を続けるの？

15 ：ニューノーマルの名無しさん：2022/06/16(木) 11:46:29.01 ID:gVrLdAuG0.net

FortiGate 60E脆弱性放置
VPN認証情報流出
Active Directoryパスワード5桁
ロックアウトなし
マルウエア対策ソフトなし
WindowsUpdate無効
WindowsパーソナルFW無効
Windows7
ActiveX・Silverlight有効

16 ：ニューノーマルの名無しさん：2022/06/16(木) 11:46:41.37 ID:y3ab7Pbt0.net

ああ、病院特有の、すべての責任を出入り業者に押し付ける流れか
これほんと気分悪いな

17 ：ニューノーマルの名無しさん：2022/06/16(木) 11:46:50.74 ID:7JGs+bxD0.net

大手ベンダいるよね普通

18 ：ニューノーマルの名無しさん：2022/06/16(木) 11:47:01.81 ID:RGEpE00U0.net

病院ってIT部門あるの？
セキュリティとか無いようなもんだろ

19 ：ニューノーマルの名無しさん：2022/06/16(木) 11:47:41.44 ID:sd9Y/4WC0.net

顧客が自分のところに入っているシステムとか設定を把握しているわけない

20 ：ニューノーマルの名無しさん：2022/06/16(木) 11:47:55.75 ID:3DtTmjoe0.net

脆弱性なんて、パッチ当てないとやばいっすよって言い続けてもその費用出そうと一ミリも考えてないとこ多いからな

今まで何も起きてないから大丈夫でいくとこはやばい

21 ：ニューノーマルの名無しさん：2022/06/16(木) 11:47:57.75 ID:XMig3hos0.net

システム運用者設置してなかったんじゃないの。作りっぱなし。
設置A社、復旧B社、アプリ保守C社以上3社だもん登場人物。

22 ：ニューノーマルの名無しさん：2022/06/16(木) 11:48:22.53 ID:pXNAUaXK0.net

>>6
販社は別なので、連絡先不明。
言わせんな恥ずかしい。

23 ：ニューノーマルの名無しさん：2022/06/16(木) 11:49:24.12 ID:6QVX4u8L0.net

病院側が愚かでベンダーの提言を無視していたってことかね

24 ：ニューノーマルの名無しさん：2022/06/16(木) 11:50:02.05 ID:Tq7vZNcQ0.net

>>15
これの調査報告書はここで読める
https://www.handa-hospital.jp/topics/2022/0616/index.html

25 ：ニューノーマルの名無しさん：2022/06/16(木) 11:50:07.15 ID:bWG45x5A0.net

>>16
機械の操作とか出入り業者に手取り足取り教えてもらえるのが当たり前の環境だからな。マニュアル読んで自分で調べるとか、セキュリティは自己責任とかの意識が育たんのだろ。

26 ：ニューノーマルの名無しさん：2022/06/16(木) 11:50:18.52 ID:2s/D7F+Z0.net

UTM　UTM　U・T・M！

27 ：ニューノーマルの名無しさん：2022/06/16(木) 11:51:12.93 ID:7wM9lSPM0.net

あ～知ってる知ってるあれだろカーオーディオの

28 ：ニューノーマルの名無しさん：2022/06/16(木) 11:52:00.67 ID:99LB7Rq00.net

そもそも、高度な個人情報などがあってとても高いセキュリティ性を求められる病院内
のITサービスを、VPN上に構築したんだろう？
こういうサービスを行うネットワークは、普通はインターネットと物理的に分けるけ
どね
複数拠点間でつなぐ必要性があったとしても、VPNじゃなくて専用線を使うだろ？

29 ：ニューノーマルの名無しさん：2022/06/16(木) 11:52:14.82 ID:QkfTtUf00.net

>>1
バックアップ取ってればいいだけ

30 ：ニューノーマルの名無しさん：2022/06/16(木) 11:52:15.54 ID:4gRSCD6i0.net

シナチョンに情報ダダ漏れのバックドアアプリLINEを放置してるような国だから問題ないな

31 ：ニューノーマルの名無しさん：2022/06/16(木) 11:52:21.62 ID:6WdbEcK50.net

ActiveDirectoryのロックアウト回数なんて
デフォで設定されてるのに、わざわざ外すってことは
病院側の移行やろ？さすがに自業自得

32 ：ニューノーマルの名無しさん：2022/06/16(木) 11:53:06.63 ID:mxxy1MLp0.net

>>28
専用線だとコストが掛かるから、偉い人が嫌がったんじゃないかな

33 ：ニューノーマルの名無しさん：2022/06/16(木) 11:54:10.87 ID:/zEtNVX30.net

なんだ　きじゃくせいのスレか

34 ：ニューノーマルの名無しさん：2022/06/16(木) 11:54:50.98 ID:i/r/qXb10.net

こーゆうとこのシステム運用者なんてプリンタに紙が詰まった
とかの対応しか出来ないよ
俺のことだがなw

35 ：ニューノーマルの名無しさん：2022/06/16(木) 11:55:31.05 ID:TOOi2Rbe0.net

半田そうめん

36 ：ニューノーマルの名無しさん：2022/06/16(木) 11:55:40.75 ID:lEZ77cgc0.net

だからFAXでやれとあれほど

37 ：ニューノーマルの名無しさん：2022/06/16(木) 11:57:33.46 ID:Oj2GP+rn0.net

こんな感じのセキリュティ至る所にあるだろ

38 ：ニューノーマルの名無しさん：2022/06/16(木) 11:57:40.05 ID:IZQk0t3U0.net

>>31
間違えた時ロックかかるのが不便みたいな理由なのかな
安全装置うるせーから解除してたら死亡事故発生しました的な