[昔] 2022年10月31日 大阪市の医療センターにサイバー攻撃、復旧まで２ケ月、常時接続している給食業者の防護ソフトが最新でなく、接続パスワードは電子カルテシステムと同じだった

2023年3月29日11時36分に読売新聞から、下記趣旨の記事がネット配信されていた。

大阪急性期・総合医療センター（大阪市住吉区、病床数８６５床）がサイバー攻撃を受けた問題で、情報セキュリティーの専門家らでつくる調査委員会が２８日、報告書を公表した。

調査委は、センターでは電子カルテシステムに接続するためのものと同じパスワードが別のシステムでも使い回され、サイバー攻撃に対して脆弱な状態だったと指摘。
「システム業者を含めて危機管理意識が不足していた」と批判した。

センターは昨年１０月３１日、サイバー攻撃を受け、電子カルテシステムに障害が発生。

「ランサム（身代金）ウェア」と呼ばれる、データを復旧するために金銭を要求するコンピューターウイルスに感染し、外来や救急患者の受け入れが制限された。

サイバー犯罪集団によるものとみられ、今年１月の完全復旧まで約２か月を要した。

報告書によると、センターでは、基幹システムの一つである電子カルテシステムと、給食などのシステムに接続するために使うパスワードが同じだった。

また、取引先の給食委託業者とセンターのシステムは常時接続しており、給食業者側のシステムで、外部からの侵入を防ぐファイアウォール（防護壁）が最新のものに更新されていなかった。

そのため、給食業者側のシステムを介して、センターの電子カルテシステムに侵入され、その後、パスワードを使ってシステムを書き換えられるなどしたとみられるという。

また、電子カルテシステムのサーバーには、負荷を軽くするため、ウイルス対策ソフトが設定されていなかったという。

調査委は、「医療機関には『システムは外部とつながっていないから安心』という認識がある。そのあしき慣行が、問題を発生させる要因になった」と指摘。

システム業者の役割も、契約上、あいまいだったとした。

委員長を務めた猪俣敦夫・大阪大教授（情報セキュリティー）は記者会見で、「今回の問題はどこの病院でも起こりうる。各病院でもセキュリティーの向上が必要だ」と述べた。

センターは、使い回されていたパスワードを全て異なるものに変更し、ウイルス対策ソフトを設定した。

患者の受け入れ制限などによるセンターの損害額は十数億円に上るとみられ、センターの嶋津総長は「ＩＴガバナンスの確立に向けて、真摯に取り組んでいきたい」と述べた。

 

（ 森井昌克・神戸大教授（情報通信工学）の話）
「過去の医療機関を対象としたサイバー被害は、いずれもセキュリティー対策のずさんさが原因だ。
今回も同じで、当事者に危機意識がないことが改めて浮き彫りになった。
国は、大病院ですらこうした問題が起きたことを深刻に受け止め、対応を病院任せにせず、必要な法整備などを進めるべきだ」

https://www.yomiuri.co.jp/national/20230329-OYT1T50114/　　

 

3月28日19時51分に毎日新聞からは、攻撃者はウイルス対策ソフトをアンインストールしたなど、下記趣旨の記事がネット配信されていた。

報告書によると、攻撃者は2022年10月31日、ネットワーク接続する配食事業者経由でセンターの給食管理サーバーに侵入。

ウイルス対策ソフトをアンインストールし、電子カルテシステムにも侵入して暗号化したため、カルテが閲覧できなくなった。

センターは、外部接続の利用状況を確認していなかった上、給食管理サーバーのパスワードが他のサーバーと共通だったことなど、内部のセキュリティーが不適切な状態で、電子カルテなど基幹システムへの侵入も許した。

被害額は診療制限に伴い十数億円以上を見込む。

調査・復旧費用にも別に数億円かかるという。

https://mainichi.jp/articles/20230328/k00/00m/040/314000c

 

 

 

 

2023/04/06 (Thu) 【情報管理不備】　ﾊﾟｿｺﾝ・ﾒｰﾙ等 Comment(0)