こんばんは。今回は引き続き大阪急性期・総合医療センターでのサイバー攻撃に関する話題を取り上げます。前回の記事はこちらです。

karasuma-kitaoji.hatenablog.com

　この時点では詳しいことは分からなかったのですが、どうやら電子カルテシステムと連携している部門システム(給食システム)側に問題があったようです。

　「給食システム側に問題がある」ということは分かったのですが、それでどこに問題があったのか？という点までは不明でした。

　どうやら給食システムベンダが契約しているデータセンターに接続するためのVPN機器の脆弱性が放置されたままだったようです。

　以下はsecurity-nextの記事からです。

www.security-next.com

　こちらにある程度詳しい内容が記されています。問題となったVPN機器は徳島県つるぎ町立半田病院と同じVPN機器だったようです。しかも、同病院で問題となっていた脆弱性が解消されていなかった(パッチが当てられていなかった)模様です。

　大阪急性期・総合医療センターと給食システムベンダが契約しているデータセンター間は閉域網接続されていたようです。給食システムベンダの社内LANと同データセンター間を脆弱性が解消されていないVPN機器経由で接続されていたようです。

　給食システム自体は院内にあるようですが、この給食システムのサーバに同データセンター経由でRDP接続出来るようになっていたとのことです。

　これにより、院内電子カルテシステムサーバ等にランサムウェア感染が発生したとされています。

　病院側としても、自分の管理範囲外の機器が原因だったため、手出しができないという問題があります。(せいぜい「VPN機器等の適切な管理をお願いします」ぐらいしか言えないでしょう)

　給食システムベンダにしても、VPN機器の導入のみで終わってしまっていて、保守・運用契約まできちんとしていなかった可能性も考えられます。

　「責任分界点の谷間」に落ちてしまわないように、適切な契約を行う必要があるといったところでしょうか。