先日公表された、地方独立行政法人岡山県精神科医療センターのランサムウェア事案に関する調査報告書は、多くの企業や組織にとって、脆弱なセキュリティ対策が及ぼす危険性を、あらためて周知するものでした。
過去にも、他の医療機関における被害事例(徳島県つるぎ町立半田病院、大阪急性期・総合医療センター)が報告されていますが、今回も同様に基本的なセキュリティの不備が原因といえます。
この報告書から得られる教訓は、病院や医療機関に限らず、情報システムを運用するあらゆる企業が真摯に受け止め、自社の対策を見直すために活用すべきものといえるでしょう。
ランサムウェア攻撃は、単にファイルを暗号化するだけでなく、その前段階で攻撃者が「手動」でネットワークに侵入し、偵察、情報収集、ウイルス対策ソフトの停止といった「下準備」を行います。この際に悪用されるのは、多くの場合、ソフトウェアの脆弱性や推測しやすいパスワードを使いまわしている、といった基本的なセキュリティ上の欠陥です。
岡山県精神科医療センターの被害事例の主な原因として挙げられているものも同様で、多くの企業にも当てはまる可能性のある脆弱性です。
外部からの接続点であるVPN装置に存在する、過去の攻撃で悪用された既知の脆弱性が、修正されずに放置されていました。
保守用VPNや院内コンピューターの管理者アカウントで、安直なパスワード(例: administrator/P@ssw0rdなど)が使用され、しかも使い回されていました。
多くの一般ユーザーに管理者権限が付与されていたため、攻撃者は容易にシステム設定変更やウイルス対策ソフトの停止を行うことができました。これは医療機関に限らず、どのような企業や組織でもチェックが必要な点でしょう。
ネットワークは外部と接続しない「閉域網」だという誤った認識から、基本的なセキュリティ対策や脆弱性対策が軽視されていました。しかし、VPN装置がある時点で完全に閉じているわけではなく、そのリスク評価が欠けていました。
オフラインバックアップが適切に取得されていなかった、あるいは攻撃者によって破壊されてしまったため、迅速な復旧が極めて困難になりました。
報告書では「稚拙な攻撃を許す組織こそがランサムギャングの標的なのである」という言葉で、厳しく指摘しています。これはつまり、高度な攻撃手法よりも、組織の基本的なセキュリティの穴が狙われるということです。
これらの原因を踏まえ、業種を問わずあらゆる企業や組織が取り組むべき多岐にわたる対策について、報告書で言及されています。多くは当たり前のことですが、その当たり前ができていない企業が多いのが現実です。
VPNやFirewallで使用している機器やソフトウェアの脆弱性情報を常に把握し、最新の修正プログラム(パッチ)を確実に適用する体制を作りましょう。VPN等の認証では、推測困難な長いパスワードを使用し、多要素認証を必須にしましょう。接続元IPアドレスを限定することも有効です。
また、安易なリモートデスクトップ接続(RDP)を制限することも重要です。ポート番号の変更、接続元IPアドレスの制限、ロックアウト設定を厳密に行いましょう。
一般ユーザーには標準ユーザー権限のみを与え、管理者権限は本当に必要なユーザー、端末、サーバーに限定し、「最小権限の原則」を徹底しましょう。管理者アカウントのパスワードはコンピューターごとに固有にし、推測困難な長いパスフレーズ(16桁以上推奨)を使用してください。管理者アカウントの使い回しは絶対にやめましょう。
また、ログイン試行回数に制限を設け、不正アクセス試行に対して、アカウントをロックアウトするように設定します。退職者など、使用されなくなったアカウントは速やかに削除するようにしましょう。
OSやソフトウェアのセキュリティアップデート(Windows Updateなど)を、速やかに適用するようにしましょう。
また、サポート切れのOSやソフトウェアは使用しないことを徹底し、適切な移行計画を立て実行することも重要です。OS等のデフォルト設定を見直し、セキュリティを強化する設定を適用するよう心がけましょう。
重要なシステムや部門ごとに、ネットワークを分割(VLANやマイクロセグメンテーション)し、攻撃の水平展開を防ぎましょう。
また、必要最低限の通信のみを許可し、不要なサービスや通信ポートは閉じるようにします。SMBv1(ファイルやプリンタを共有するときに使う通信プロトコル)のような、脆弱なプロトコルの使用は禁止しましょう。
ウイルス対策ソフトは常に稼働させ、設定変更や停止ができないように保護しましょう。最新の状態を維持し、定期的なスキャンを実施するようにします。
また、セキュリティ対策が施された(暗号化等)USBメモリの使用のみを許可し、外部からの持ち込みには厳格なチェックを行うようにしましょう。
個人情報や機密情報を含むファイル、ハードディスクは暗号化を必須としましょう。ファイル共有は認証付きツールなどを活用し、機密情報の安易なメール添付や、セキュリティ対策のない方法での共有は避けてください。
FirewallやVPN装置、サーバー等のログを外部のSyslogサーバー等に集約し、一定期間保存するようにします。
また、Windows等のセキュリティログを詳細に設定し、Log Parserなどのツールを活用して、不審なログオン試行や権限変更、プロセス実行といった異常を早期に検出できる体制を構築しましょう。
オフラインバックアップ(ネットワークから切り離された場所や媒体へのバックアップ)の実施は、最も重要かつ基本的な対策といえます。重要なシステムやデータのオフラインバックアップを、定期的に取得するようにします。書き換え不可能な媒体や、異なるセグメントへの保存も検討しましょう。
取得したバックアップデータが、本当に迅速かつ正確に復旧可能であるかを定期的にテストし、その真正性を確認しておくことも必要です。また、サイバー攻撃発生時に、どのように事業を継続し、システムを復旧させるかの計画を具体的に策定・文書化しておきましょう。
企業や組織のセキュリティ維持・強化のために、自社の要員だけでなく、セキュリティベンダーやステークホルダーも含めた組織的な体制を構築することも重要となります。
経営層が情報セキュリティリスクを「経営課題」として認識し、適切な投資や体制構築を主導することが重要です。情報セキュリティに関する規程を整備・見直し、責任体制を明確にしましょう。
組織内のシステム、機器、ソフトウェア等のインベントリを作成し、脆弱性情報、パッチ適用状況、サポート状況などを一元管理する台帳を整備しましょう。
システムや機器を提供するベンダーのセキュリティ体制を評価し、契約にセキュリティ要件(脆弱性管理、ログ提供、インシデント対応協力など)を盛り込むことも大切です。
「閉域網だから安全」といった古い認識を是正し、Security By Design/Default(設計段階からのセキュリティ検討、デフォルトでの安全な設定)の観点から、改善を継続するようにしましょう。
サイバー攻撃発生を想定した事業継続計画(BCP)を策定し、システム復旧だけでなく、代替手段による業務継続も含めて計画に盛り込みます。経営層を含む、インシデント対応のシミュレーションや、トレーニングを定期的に実施しましょう。
独立行政法人情報処理推進機構(IPA)や警察など、セキュリティ専門組織や関係機関との情報共有・連携体制を構築しておきましょう。
フィッシングメール、最新の攻撃手法、異常時の対応など、サイバー攻撃に関する定期的な教育を全従業員に対して実施するようにします。特に、巧妙化するフィッシング攻撃への注意喚起は、必要不可欠といえます。
IT担当者や関連ベンダー間で、システム脆弱性情報や対策案をタイムリーに共有できる仕組みを構築しましょう。
この調査報告書は、多くの組織・企業が抱える「閉域網であれば安全」という根強い認識が、いかに現実離れしているかを浮き彫りにしました。インターネットから接続可能なVPN装置が存在する限り、そこは外部からの攻撃に晒されている最前線となります。そのリスクを正しく評価し、適切な対策を講じることが、サイバー攻撃を防ぐ第一歩です。
また、今後、暗号化を伴わずに情報を窃取し、「公開する」と脅迫する「ノーウェアランサム」の脅威も増大すると予測されています。ランサムウェアによるシステム停止だけでなく、情報漏洩のリスクへの対策も同様に重要になっています。
この報告書を「他所の出来事」と捉えず、自組織のセキュリティ対策が十分か、上記の基本的な対策ができているかを、今一度、真剣に見直してください。過去の事例から学び、サイバー攻撃の脅威から組織を守るための行動を起こすことが、今、最も求められていることと認識しましょう。
