事件の概要

  • 2021年10月に町立病院の電子カルテがランサムウエアに感染し身代金を要求されていた
  • 身代金の支払には応じず、専門家にシステムの復旧を依頼していたが、このたび復旧完了し診療を再開

コメント(課題・問題点・防止策等)

  • 「VPNの脆弱性を狙った」との専門家の話あり
  • メールの添付ファイルを開いての感染ではないということのようですね
  • VPNは安全だというのがあるので、「VPNの脆弱性」に対応するのはなかなか分からないし難しいような気がします
  • システム管理会社がセキュリティ対応についてクライアントに働きかけるなど積極的に動く必要があるのかなと思いました
  • 前回の記事です
  • 「VPNの脆弱性を狙った」との専門家の話があり、ウイルス感染の複数のパターンを解説したサイトがありましたので紹介します

IPA(独立行政法人情報処理推進機構)ランサムウェア対策特設ページ

HOME>情報セキュリティ>届出・相談・情報提供>情報セキュリティ安心相談窓口>ランサムウェア対策特設ページ

情報セキュリティ
ランサムウェア対策特設ページ
最終更新日:2021年12月 1日
独立行政法人情報処理推進機構
セキュリティセンター

はじめに
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
感染したパソコンに特定の制限をかけ、その制限の解除と引き換えに金銭を要求する挙動から、このような不正プログラムをランサムウェアと呼んでいます。

IPA情報セキュリティ安心相談窓口でも2015 年以降、パソコンに保存されているファイルを暗号化し、元の状態に戻すことと引き換えに金銭を要求するランサムウェアに関する相談が多く寄せらるようになりましたが、2017年5月以降にはネットワークを介して攻撃パケットを送出することで感染拡大を図る新たなタイプが猛威を振るいました。

今後も更なるランサムウェアの脅威が考えられることから、本ページにランサムウェア対策に必要となる情報を集約し、ランサムウェア特設ページとして開設することとしました。
ランサムウェア対策 関連情報
ランサムウェアの感染防止や被害低減のために役立つ情報をタイムリーに公開、更新していきます。

https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

ニュース記事の紹介

※下記に紹介している記事や動画は時間の経過とともに削除される場合がありますのでご了承ください。また、新しいニュースがあれば追加します。

【毎日放送】【特集】サイバー攻撃と戦った公立病院の2か月間『電子カルテが暗号化』過去の検査結果も病歴もわからず…手書き対応にも苦労(2021年1月6日)2022/01/07

サイバー攻撃と戦った公立病院の2か月間『電子カルテが暗号化』過去の検査結果も病歴もわからず...手書き対応にも苦労

2022年01月06日(木)放送

去年10月末、徳島県の公立病院がコンピュータウイルスによるサイバー攻撃を受けました。患者の電子カルテが暗号化され、いつ誰がどんな病気で通院して何の薬を服用していたのかなど、診療に必要な全ての情報を見ることができなくなってしまいました。院内のあらゆるシステムがダウンしてしまい、実質的な機能停止状態に陥りました。あの日、何が起き、どんな対応が続けられてきたのか。病院機能が復旧するまでの2か月を取材しました。
町の唯一の公立病院が標的に

人口約8200人の徳島県つるぎ町。自然豊かな山あいの町には高齢者が多く住んでいます。そのつるぎ町の唯一の公立病院が「町立半田病院」です。
2.jpg
去年10月末、町の医療を支えるこの病院が一夜にして機能停止に陥りました。何者かが仕掛けたコンピューターウイルスに半田病院のメインサーバーとバックアップサーバーが感染。約8万5000人分の電子カルテが閲覧できなくなったのです。
3.jpg
病院の管理責任者である須藤泰史医師は当時の状況を次のように話します。

(半田病院・病院事業管理者 須藤泰史医師)
「過去のことと比較できない。患者さんが座っても、なんでうちの病院に、いつから、どういう病気にかかっていたかわからない。そういうのが一切わからないというのがカルテがストップしている状態。予約票も映りませんから、きょう誰が来るかもわからないんです」

大混乱に陥った病院。外来患者の新規受け付けを停止せざるえませんでした。
一斉に動いた50台のプリンター『データを盗み暗号化した』

コンピューターウイルスによる攻撃を受けた日から約1か月後の11月29日、MBSは病院を取材しました。

(半田病院 丸笹寿也事務長)
「コロナ対応もしていますので二重の痛手ですね。全く違う“ウイルス”ですけどね…」
5.jpg
ウイルスの攻撃を受けたのは10月31日の午前0時30分のことでした。病院内にある約50台のプリンターが一斉に動き出し、大量の紙が印刷されて出てきたのです。

(半田病院 丸笹寿也事務長)
「『電源が入っているプリンターから自動で流れてきた』と、そういうふうに聞いてます。(Q何枚くらい出てきた?)紙がある分だけですね」
6.jpg
第一発見者の看護師は次のように話します。

(看護師)
「最初は初めて見たので『いたずらかな』と思いながら、ほかの病棟でもそういうことがないのか、夜間でしたのでひとりで回っていったり、当直の事務の者がおったので連絡して(全てのプリンターを)確認してもらうようにしたりしました」
7.jpg
その紙には「あなたたちのデータを盗み、暗号化した。盗んだデータをサイトに公開する」と英語で書かれていました。攻撃は「LockBit2.0」と名乗る犯罪集団によるものでした。
8.jpg
「ランサムウェア」というウイルスを使って病院のサーバーに侵入して、電子カルテの個人情報などのデータを暗号化。そのうえで「データを元に戻したければ身代金を払え」と要求したのです。
自動受付機などもダウン…“手書き”で対応

さらに、ウイルスは病院内のほかのシステムまでダウンさせたため、混乱に拍車がかかっていました。

(半田病院 丸笹寿也事務長)
「普通は自動受付機を使っている。今は全然使えないんですけれど。紙で受付作業をしています」
10.jpg
(病院職員)
「申し訳ないんですけど、今患者さんの情報が全部見れないようになってしまっているんです。お手数なんですが、こちらにお名前と生年月日と住所と電話番号を書いてもらえますか?」

1日数百人やってくる患者ひとりひとりが、個人情報や病歴などを一から記入しなければなりませんでした。医師が書くカルテも全て手書きです。
11.jpg
診察も一筋縄ではいきませんでした。3か月に一度、喘息の定期健診に来ていた親子。医者は前回の健診データを見ることができません。

   (医師)「アレルギー検査、うちでしたと思うんですけど、何が出ていたんでしたかね?」
(患者の母親)「ハウスダストです」

(医師)
「過去のデータや前のこととかはお母さんに思い出しながらしてもらわないと。僕らは電子カルテができてから働き出したので、あまり手書きで書くのは慣れていないです」
12.jpg
病院前の調剤薬局にも影響は出ていました。

(アイ調剤薬局・半田店 薬剤師)
「(処方箋が)手書きですので、転記ミスなり、記載漏れっていうのは多少なりともあります。ちょっと確認のためにドクターに問い合わせや疑義照会をかけないといけないので、そこらへんの手間がちょっと増えている」
13.jpg
11月26日、病院は専門業者に依頼して電子カルテの復元に取り組んでいると発表。身代金については「支払わない」と明言しました。

(半田病院・病院事業管理者 須藤泰史医師)
「身代金を払ったとしても、データが完全に戻るかどうかもわからないし。それで向こうが持ち去ったとされる個人情報が本当に開示されないとも限らない。それよりも早く診療体制を戻すことが重要である」
専門家「VPNの脆弱性を狙った」

一体なぜ半田病院が標的になったのか。サイバー犯罪に詳しい専門家は次のように話します。

(神戸大学大学院 森井昌克教授)
「むやみやたらにと言ってもいいんでしょうけれども。VPNの脆弱性を狙ったということですね」

専門家によりますと、セキュリティが甘いシステムを使用していた多くの個人や組織が狙われ、国内でも少なくとも30社以上の企業などが感染。そのうちのひとつが半田病院だったというのです。

一方で犯人特定は非常に難しいと話します。

(神戸大学大学院 森井昌克教授)
「こういう犯罪っていうのは日本だとか外国だとかそういうのは関係ないので。世界的な例えばテロのグループだとかですね、反社会組織がやっている場合が多いわけですよね」
年末にシステムが復旧…病院に日常が戻る

発生から約2か月後の12月24日、クリスマスイブ。病院では例年通りクリスマス会が開かれていましたが、電子カルテの復元はまだできていませんでした。毎日続く情報共有の職員会議はこの日も行われていました。

(半田病院・病院事業管理者 須藤泰史医師)
「年末年始にかけて、なるべく完全形に近づけるような努力は最後まで惜しまずやります」
16.jpg
正月休みを終えて迎えた1月4日。電子カルテは復元され、院内のシステムもほぼ復旧して、全ての診療科で外来診療が再開しました。システムが復旧したのは12月29日。なんとか年末年始の休み明けに間に合いました。

(患者)
「うれしいなと思います。よかったと思います」
「これほど大きい病院は県西部にはここくらいしかない。一般外来も受け入れるようになったのはよかったのかなと思います」
17.jpg
病院に日常がようやく戻ってきました。

(半田病院・病院事業管理者 須藤泰史医師)
「(Qこの2か月は?)やっとですよね。涙が出ましたよ本当に。職員たちと。以前のような対応はできるという形で。救急にも貢献しようと思っています」

地域医療が脅かされたサイバー攻撃。セキュリティの向上は全ての病院で喫緊の課題となっています。

https://www.mbs.jp/4chantv/news/kodawari/article/2022/01/087200.shtml

【読売新聞】サイバー被害の徳島・半田病院が全面再開…電子カルテが復旧 2022/01/04

サイバー被害の徳島・半田病院が全面再開…電子カルテが復旧
2022/01/04 15:00

使用が再開された受付端末(4日午前、徳島県つるぎ町の町立半田病院で)=近藤誠撮影

 コンピューターウイルス「ランサム(身代金)ウェア」に電子カルテシステムが感染した徳島県つるぎ町の町立半田病院(120床)が4日、復旧した電子カルテを使って約2か月ぶりに診療を全面再開した。

 同病院は昨年10月末にサイバー攻撃を受けてシステムがウイルスに感染。患者約8万5000人分の電子カルテが使えなくなった。このため、手書きでカルテを作り直し、全13の診療科では新規や救急患者の受け入れを原則、停止した。

 システムは昨年末に復旧。電子カルテも閲覧できる状態にまで回復した。4日は午前7時半から受け付けを開始。患者は「総合受付」でシステムに連動している端末に診察券を差し込み、診察を受けた。

 夫の付き添いで内科を訪れた60歳代女性は「手書きのカルテは色々と尋ねられて作るのに時間がかかった。復旧して良かった」と笑顔を見せた。病院の丸笹寿也事務長(55)は「電子カルテが復旧し、泣いて喜ぶ医師もいた。今後は信頼回復に努めたい」と話した。

https://www.yomiuri.co.jp/local/kansai/news/20220104-OYO1T50017/

【朝日新聞】サイバー攻撃受けた徳島・半田病院 約2カ月ぶりに通常診療全面再開 2022年1月4日

サイバー攻撃受けた徳島・半田病院 約2カ月ぶりに通常診療全面再開
2022年1月4日 17時30分

 サイバー攻撃を受けて電子カルテシステムが使えなくなった徳島県つるぎ町の町立半田病院が4日、システムを復旧し、全13の診療科で約2カ月ぶりに通常診療を全面再開した。小児科と産科以外で中止していた救急や新規患者も再び受け入れられるようになった。

 この日訪れた患者らは、再び動き始めた再来受付機で次々と受け付けをした。隣町から来た男性(59)は「田舎では貴重な病院。ほっとしている」と話した。

 同病院の電子カルテシステムは昨年10月末、データの復元と引き換えに金銭を要求する「ランサムウェア(身代金ウイルス)」に感染。病院内の十数台のプリンターから英文の「犯行声明」が印字された。8万5千人分の患者データにアクセスできず、会計システムで診察費の請求もできなくなったため、一部の診療科をのぞき、新規患者らの受け入れを中止した。
写真・図版
再来受付機での受け付けが再びできるようになった=2022年1月4日午前9時23分、徳島県つるぎ町、斉藤智子撮影

 同病院は、交渉には一切応じず、従来のサーバーを復旧。地域の要望を受けて11月中旬に小児科と産科を再開し、受け付けや会計処理を担う医事会計システムや電子カルテシステムを順次、使えるようにした。今後、検査機器などとの接続や、システムを使えなかった約2カ月間のデータ入力などを進めるという。

 今のところ、個人情報が流出した情報は寄せられていないという。病院事業管理者の須藤泰史医師は「電子カルテが見られるとわかったとき、涙が出た。休みなく出勤してくれた仲間と喜んだ」と語った。

 丸笹寿也事務長は「有識者会議を設けて、原因究明をし、二度と起こらないように対策を講じる」と話した。減らしていた入院患者や手術も、以前の水準に戻していくという。

https://www.asahi.com/articles/ASQ145J9MQ13PTLC00P.html

【NHK徳島 NEWS WEB】サイバー攻撃受けたつるぎ町の病院 通常診療を再開 01月04日

徳島 NEWS WEB

サイバー攻撃受けたつるぎ町の病院 通常診療を再開

01月04日 12時54分

サイバー攻撃を受けて電子カルテなどが使えなくなっていた徳島県つるぎ町の町立病院が4日からすべての診療を再開しました。電子カルテのシステムが復旧し、保存されていた患者のデータも使えるようになったということです。

徳島県つるぎ町の町立半田病院は、去年10月、「ランサムウエア」と呼ばれる身代金要求型のコンピューターウイルスの攻撃を受け、電子カルテのシステムが使えなくなり産科と小児科を除いて、新規患者の受け入れを停止していました。

病院によりますと先月29日にシステム復旧の見通しが立ち、電子カルテに保存されていたおよそ8万5千人分の患者のデータなどが使えるようになったということで、4日から13のすべての診療科で通常の診療を再開しました。

病院には朝から町民などが診療を受けに訪れ、会計も従来のシステムを使って混乱なく行われていました。システムの復旧は外部のセキュリティー会社に依頼したということですが、病院側は具体的な方法や費用については今後のセキュリティー対策に関わるとして明らかにしていません。

半田病院の須藤泰史 病院事業管理者は「復旧できると聞いたときには涙が出るほどうれしかった。患者や関係者には大変ご迷惑をおかけしました。今後再発防止のため対策を講じてまいります」と話していました。

https://www3.nhk.or.jp/lnews/tokushima/20220104/8020013288.html(リンク切れ)

【産経新聞】露ハッカー集団「3万ドル受領」 徳島の病院サイバー攻撃で 2022/10/26

露ハッカー集団「3万ドル受領」 徳島の病院サイバー攻撃で
2022/10/26 10:28

昨年10月に身代金要求型コンピューターウイルス「ランサムウエア」によるサイバー攻撃を受け、一部診療停止に陥った徳島県つるぎ町立半田病院を巡り、ロシア拠点のハッカー犯罪集団が「データの『身代金』として3万ドル(約450万円)を受け取った」と主張していることが26日、分かった。警察庁などは身代金を払うべきでないとしており、つるぎ町も払わないと表明していたが、復元を依頼されたIT業者の関係者が交渉した可能性がある。

ハッカー集団は電子カルテなどのデータを暗号化し、復元と引き換えに半田病院に金銭を要求。取材に対し「取引は成立し、復元プログラムを提供した」と説明した。主張が事実であれば、町の公費がハッカー集団に渡ったことになる。

兼西茂町長は「診療再開に向けて対応してきたが、町として『身代金』を支払っていないと認識している」と話した。

https://www.sankei.com/article/20221026-ZRPNOQ4FPRMIPHF6HRGOMLNDFA/