“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓

　サイバーセキュリティ月間に、少々取り上げ方に悩む“事案”が発生しました。岡山県精神科医療センターは2025年2月13日に「ランサムウェア事案調査報告書」を公開しました。サイバー攻撃を受け情報漏えいが発覚したのは2024年5月19日で、現時点では幸いにも被害の拡大は確認できていません。

【画像】“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓【全1枚】

　この報告書ではその調査結果がソフトウェア協会・Software ISACの協力の下でまとめられています。大変重要かつ意義のある内容ですので、今回はこちらを紹介したいと思います。

●“あまりにもお粗末なセキュリティ体制”　だがこれを笑える人はいるのか？

　一言で言えば、今回のレポートは、そのあまりにも雑なセキュリティ対策に失笑してしまうレベルかもしれません。別の言い方をすると、日本におけるセキュリティ対策は（既に幾つも事案が発生したことでガイドラインが設定され、かつ高い意識が必要な医療分野であっても）依然としてこの認識にとどまっている、と思わせられる内容です。

　個人的には全文を読んでいただき、今回の事案を把握した上で判断してほしいとは思いますが、初期侵入の原因として挙げられた下記の部分を読むだけでも、今回起きてしまったことは何となく理解できるかもしれません。

1．保守用SSL-VPN装置のID／PWが、「administrator/P@ssw0rd」という推測可能なものが使用されていた

2．病院内の全ての「Windows」コンピュータの管理者のID／PWも、上記と同じものが使いまわされていた

3．SSL-VPN装置の脆弱（ぜいじゃく）性が2018年の設置以降、修正されておらず、過去、ランサムウェア攻撃に使用された脆弱性が複数存在した

4．全てのサーバや端末ユーザーに管理者権限を付与していた

（「ランサムウェア事案調査報告書について」から引用）

　これを笑うのは簡単です。しかし恐らく多くの業種や規模の組織が似たような状況にあるのではないかとも推測できます。このような運用を目の当たりにしたとき、「個人」としてもセキュリティ意識が正しく浸透してれば、意を唱える人が一人でもいるかもしれません。

　医療という現場においてそのような余裕はないかもしれません。しかし、少なくとも機器を設置するパートナーが助言をしていればもう少し被害が緩和できたのではないかと思うと、今回の事案を「この病院はセキュリティ意識が低い」と切って捨てるわけにもいかないでしょう。これはわれわれ全員が教訓として学ぶべきレポートであり、この資料をまとめた関係各位、そして何よりも、自らの行為を詳らかに記した岡山県精神科医療センターにも賛辞を送りたいと思います。

　その思いが大きく表れているのが、前文として挙げられている、ランサムウェア事案調査委員会の委員長でソフトウェア協会のフェローとして活躍する、板東直樹氏の文章です。

　「ランサムウェア事案調査報告書によせて」と題した文章では、今日本の組織を脅かす、ランサムウェア被害の根本理由を説いています。坂東氏はランサムウェアの実行犯とは「全て生身の実行犯の直接の操作によるもの」と述べ、脆弱性や安直で推測しやすいパスワードを狙い、ランサムウェア稼働の条件を整えるとしています。

　20桁以上の“単に”長いパスワードを設定するだけでも、その攻撃の成功率を下げられるわけです。そのわずかなことが講じていないだけでランサムウェア被害が広がっているといえます。

　坂東氏はこれまでも、同じ医療業界で発生している徳島県つるぎ町立半田病院や、大阪急性期・総合医療センターの事案においても調査報告書の策定に携わっています。そのチームがまた医療系で発生したランサムウェア事案の報告書を書いていることは悔しい思いもあるでしょう。その意味でも同レポートは大変、大変重いです。

　この文章は、下記のような一文で締められています。前文だけでも、ぜひチェックしておいてください。

岡山県民各位に当たっては、ウイルス対策ソフトの稼働やWindows Updateの実施、長いパスフレーズの採用を頂き、サイバー攻撃に強靭（きょうじん）な体制を維持して頂くようお願い申し上げる次第です。また、県内情報システム関係者各位と、全国の医療情報システムの関係者各位には、徳島県つるぎ町立半田病院、大阪急性期・総合医療センターの報告書と併せて、同調査報告書の再発防止策をランサムウェア攻撃の低減の一助としてご活用いただくことをお願いし、巻頭のあいさつと致します。

（「ランサムウェア事案調査報告書について」から引用）

●大きな事案の後の報道は、その「本質」を追いかけよ

　実は以前、この文章を記した坂東氏にインタビューしたことがありました。「ITmedia News」でお話を聞いたときは、新聞報道で漏えい情報が「ダークWeb」にのみ存在し「一般の人が閲覧できる可能性は極めて低いと考えられる」と報じられたことがきっかけでした。このインタビューでは、一般誌の記者向けに分かりやすく伝えた内容が、少々誤解を生む見出しになったということが明らかにされています。

　今回の事案も、IT業界だけでなく多くの新聞報道、テレビ報道につながる内容かと思います。しかし、やはりどうしてもITの分かりにくい部分が、読者に理解できるように変えられてしまう可能性があります。「ITmedia エンタープライズ」をお読みの皆さんは、ぜひこのレポートをチェックいただき、セキュリティ対策の現状と攻撃者のテクニック、そして自社が同じ攻撃を受ける可能性などについても考えてみてほしいと思います。

　それこそが、岡山県精神科医療センターが身を挺して、恥を忍んでこのようなレポートを出した意義です。これを無駄にするかどうかは、皆さん次第かもしれません。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。