LockBit 2.0が半田病院ランサムウェアの原因・経緯?感染経路はFortinet

スポンサーリンク
デフォルト 0未分類

徳島県つるぎ町の基幹病院である町立半田病院が2021年10月にランサムウェア(身代金ウイルス)によって、8万5000人にも及ぶ患者の電子カルテが失われるなど甚大な被害に見舞われます。

国際的サイバー犯罪集団「LockBit」により犯行声明も出ましたが、半田病院ランサムウェアの経緯は?原因・感染経路はFortinet?

スポンサーリンク

LockBit 2.0が半田病院ランサムウェアの経緯は?

サイバー攻撃に狙われる「日本の医療システム」のヤバイ実態

「半田病院の被害の場合、おそらくシステムの脆弱性を狙って無差別に攻撃した中で、あたってしまったのだと思います。

今回VPN(ヴァーチャルプライベートネットワーク)で医療専用のネットワークに脆弱性が見つかったシステムが含まれていて、パッチを適用していなかった可能性が高いと言われています。

今回の犯行は、いま最も勢いがある『LockBit 2.0』という犯罪プロ集団によるものです。ランサムウェアのランサムは身代金という意味ですが、コンピューターのシステムにウイルスを送り込むことで、データを暗号化して見られなくし、暗号化を解除してほしければ身代金を払えと要求してくるのです。

https://news.yahoo.co.jp/articles/bddbbec71cb34a773bb05d0393404fe0effcd29b

徳島県つるぎ町の町立半田病院でランサムウェア攻撃が発覚したのは、十数台のプリンターが、一斉に印字を始めたことから。

「Your data are stolen and encrypted」(あなたのデータは盗まれ、そして暗号化された)
「The data will be published…」(データは公開されるだろう)

という、国際的サイバー犯罪集団「LockBit」による犯行声明が印刷されました。

内容は「身代金を支払わなければ、データは公開される」といったもので、犯行側は指定したURLにアクセスして、交渉のテーブルにつくよう求めていました。

データが勝手に暗号化されパソコンの電子カルテの患者の情報が全くみえない状態になり、バックアップデータもウイルスに感染しており病院は混乱に陥いります。

病院は発生直後から「サイバーテロ対策本部」を立ち上げ、対応に当たり、その後は約2億円をかけ新システムに切り替えゼロからカルテを再構築することになっています。

ランサムウェア対策に関する注意喚起 – 医療ISAC

半田病院ランサムウェアの原因・感染経路はFortinet?

半田病院がランサムウェアによる攻撃を受けた直接的原因は、病院システムにアクセスするためのIDとパスワードがネット上に漏れていたことです。

サイバー攻撃受けた徳島・半田病院、「犯人」側と交渉しない方針:朝日新聞デジタル
 徳島県つるぎ町立半田病院の電子カルテシステムがランサムウェア(身代金ウイルス)に感染した問題で、病院は26日に会見を開き、新たな電子カルテシステムを構築して来年1月4日の通常診療再開を目指すと発表し…

半田病院ではシステム管理を外部委託していたので、委託先の誰かがシステムにアクセス可能な情報(ID、パスワード)を漏洩したか、意図せず漏洩してしまった可能性がありました。

ただその後の調査で明るみになったのが、アメリカ・Fortinet(フォーティネット)社製のVPN機器の脆弱性(セキュリティホール)でした。

VPN回線を制御するための機器ですが、セキュリティホールが見つかったことから同社からは配布する修正プログラムが配布されていました。

ところが「Malicious Actor Discloses」というハッカー(ハッキング集団)によって、Fortinet(フォーティネット)社がハッキングされていない、まだVPN機器にパッチを当てていないを利用者のリストがj流出。

悪意のあるアクターがFortiGate SSL-VPNの認証情報を公開
フォーティネットは、悪意のあるアクターがFortiGate SSL-VPNデバイスにアクセスするためのSSL-VPN認証情報を公開したことを認識しています。引き続き、お客様にはパッチのアップグレードとパスワードのリセットを早急に実施することを強くお勧めします。…
8万7000台に影響 「Fortigate」のSSL-VPNデバイスの認証情報が漏えい
「Fortigate」のSSL-VPNデバイスの認証情報がダークウェブに公開されたことが判明した。8万7000台の製品が影響を受ける見込みだ。迅速にアップデートを適用してほしい。

世界で87000台もあったようですが、そのうちの一つが日本の徳島県つるぎ町にある町立半田病院だったようです。

意図的に半田病院を狙ったわけではなく、攻撃対象を無作為に探していたハッカー集団側が、弱点のあるシステムをみつけ、侵入できた先が、結果的に半田病院だったとみられます。

タイトルとURLをコピーしました