大阪急性期・総合医療センターでの電子カルテシステムへのサイバー攻撃(2)
こんばんは。今回は引き続き大阪急性期・総合医療センターでのサイバー攻撃に関する話題を取り上げます。前回の記事はこちらです。
karasuma-kitaoji.hatenablog.com
この時点では詳しいことは分からなかったのですが、どうやら電子カルテシステムと連携している部門システム(給食システム)側に問題があったようです。
「給食システム側に問題がある」ということは分かったのですが、それでどこに問題があったのか?という点までは不明でした。
どうやら給食システムベンダが契約しているデータセンターに接続するためのVPN機器の脆弱性が放置されたままだったようです。
以下はsecurity-nextの記事からです。
こちらにある程度詳しい内容が記されています。問題となったVPN機器は徳島県つるぎ町立半田病院と同じVPN機器だったようです。しかも、同病院で問題となっていた脆弱性が解消されていなかった(パッチが当てられていなかった)模様です。
大阪急性期・総合医療センターと給食システムベンダが契約しているデータセンター間は閉域網接続されていたようです。給食システムベンダの社内LANと同データセンター間を脆弱性が解消されていないVPN機器経由で接続されていたようです。
給食システム自体は院内にあるようですが、この給食システムのサーバに同データセンター経由でRDP接続出来るようになっていたとのことです。
これにより、院内電子カルテシステムサーバ等にランサムウェア感染が発生したとされています。
病院側としても、自分の管理範囲外の機器が原因だったため、手出しができないという問題があります。(せいぜい「VPN機器等の適切な管理をお願いします」ぐらいしか言えないでしょう)
給食システムベンダにしても、VPN機器の導入のみで終わってしまっていて、保守・運用契約まできちんとしていなかった可能性も考えられます。
「責任分界点の谷間」に落ちてしまわないように、適切な契約を行う必要があるといったところでしょうか。