ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置 「Active Directory」のパスは5桁

1: 神 ★ 2022/06/16(木) 11:40:56.40 ID:oazDXNZD9
ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題
島津 忠承 日経クロステック/日経NETWORK
2022.06.13

調査報告書は半田病院のサイバーセキュリティーに関する知識不足を指摘する一方で、顧客を支援する提案をしてこなかったベンダーの不作為を強く批判した。ただ、とりわけ強く批判されたベンダー2社は「認識が合わない点がある」と主張する。調査報告書と2社の主張を併せてみると、セキュリティーを守るうえで不可欠なはずのインフラに対するマネジメントが不在だった様相が浮かび上がる。

脆弱性を放置、認証情報の流出にも気づかず

調査報告書は主に3つの要素で構成する。(1)半田病院の被害の経緯とセキュリティー対策の実態、(2)有識者会議の委員が指摘したマネジメントや技術などの課題、(3)課題の克服に必要な対策ーーである。(3)の対策のうち、技術面については詳細な解説を別途用意する。これも含めると、調査報告書は全体で約140ページにわたる。

調査報告書では、電子カルテシステムなどのランサムウエア被害が発覚した2021年10月31日未明から、電子カルテを再稼働させた2022年1月4日までの流れを時系列でたどっている。関連する主なベンダーとして、VPN装置やサーバーを設置したA社、被害後にフォレンジック調査や暗号化データの復旧作業を請け負ったB社、電子カルテシステムなどアプリケーションを統括していたC社の存在も明らかにした。

さらにフォレンジック調査の結果や有識者会議による独自のヒアリング調査などを通じて、ランサムウエアの感染経路や半田病院のITインフラの実態を示した。感染経路については、フォーティネットのVPN装置「FortiGate 60E」経由である可能性が極めて高いと結論づけた。

根拠はこうだ。半田病院は2019年に判明したVPN装置の脆弱性(CVE-2018-13379)を放置していた。被害に遭う直前の2021年9月、8万7000台の装置の認証情報が流出したとフォーティネットが公表し、その流出リストの中に半田病院も含まれていた。にもかかわらず病院は気づかずに使い続けていたからだ。それ以外の手段の可能性も検証したが、半田病院の環境では考えにくいとした。

パスワードは最短5桁、マルウエア対策ソフトも停止

脆弱性を放置していたVPN装置だけでなく、病院内LANのサーバーやパソコンについても危険なセキュリティー設定で運用していた。例えば米Microsoft(マイクロソフト)のID管理システム「Active Directory」の認証用パスワードは最も短いケースでわずか5桁だったという。一定の試行回数でロックアウトする設定も施しておらず、犯罪者が総当たり攻撃で認証を突破し、端末を乗っ取れる状態にあった。
https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/

引用元: ・ランサム被害の徳島・半田病院、VPN装置(UTM)「FortiGate 60E」の脆弱性を放置 「Active Directory」のパスは5桁 [神★]

2: ニューノーマルの名無しさん 2022/06/16(木) 11:41:26.01 ID:OiesqS9Z0
UTMのアップデートしなかったのかよ
3: ニューノーマルの名無しさん 2022/06/16(木) 11:42:07.22 ID:9BJ5lW8c0
Windows Updateも無効にしてた模様
4: ニューノーマルの名無しさん 2022/06/16(木) 11:42:41.51 ID:gXe0EFWK0
俺もよくスマホ観てるとVPNを更新して下さい。って出るから毎回OKタップしてるわ。
5: ニューノーマルの名無しさん 2022/06/16(木) 11:43:17.48 ID:PIqRVoIG0
はんだってー
6: ニューノーマルの名無しさん 2022/06/16(木) 11:43:19.32 ID:wXzu5qmY0
リスト公開じゃなく、連絡しよよ
7: ニューノーマルの名無しさん 2022/06/16(木) 11:43:34.89 ID:cjhqn1jO0
ヨシ!
8: ニューノーマルの名無しさん 2022/06/16(木) 11:43:56.61 ID:YAfr3w+x0
SSL-VPNの脆弱性か
9: ニューノーマルの名無しさん 2022/06/16(木) 11:44:04.34 ID:mLu+HUof0
5桁総当りで突破できるとかざるすぎ
10: ニューノーマルの名無しさん 2022/06/16(木) 11:44:32.84 ID:GL5186uX0
> 8万7000台の装置の認証情報が流出したとフォーティネットが公表し
ここが一番悪いんだけどな
よかったらシェアしてね!
  • URLをコピーしました!
目次