• Column
  • 問われるサイバーレジリエンス

病院に逸失利益が数十億円規模の影響与えたランサムウェア攻撃の実際と対応策

「重要インフラ&産業サイバーセキュリティコンファレンス」より、大阪急性期・総合医療センター 診療情報管理室 主査の森藤 祐史 氏

篠田 哲
2024年4月24日

大阪府立病院機構 大阪急性期・総合医療センターは2022年10月、サイバー攻撃を受け、サプライチェーン(給食事業者)経由で第三者の侵入を許してしまった。同センター医療情報部 診療情報管理室 主査 の森藤 祐史 氏が「重要インフラ&産業サイバーセキュリティコンファレンス(主催:インプレス、重要インフラサイバーセキュリティコンファレンス実行委員会」の「Meetup Day」(2024年2月27日)に登壇し、同センターが被害を受けたサイバー攻撃の実際について解説した。

 「2022年10月31日の午前4時、給食事業者のシステムが第三者による侵入を受け大阪急性期・総合医療センターが攻撃された。これは、2021年に脆弱性が公表されていたVPN(仮想私設網)機器の脆弱性を突いたものだった」−−。同センター 医療情報部 診療情報管理室で主査を務める森藤 祐史 氏は、こう打ち明ける(写真1)。

写真1:大阪急性期・総合医療センター 医療情報部 診療情報管理室 主査の森藤 祐史 氏

院内端末の半数以上がランサムウェアに感染

 大阪急性期・総合医療センターは、900近い病床を備える地域の中核病院だ。同病院に給食を提供する事業者と病院はデスクトップ画面を遠隔操作するためのRDP(Remote Desktop Protocol)で接続されていた。それを伝って攻撃者は、「病院内のHIS(Hospital Information System:医療情報システム)にも侵入。認証情報を搾取しながら院内に設置している業務サーバーにログインし、感染を広めていった」(森藤氏)。当日の状況をタイムラインにまとめると表1のようになる。

表1:大阪急性期・総合医療センターがサイバー攻撃を受けた2022年10月31日の攻撃当初の動き
時間事象
5時43分サーバーでエラーが発生(ワーキングサーバーが異常シャットダウン)
6時03分病棟師長が事務当直に「電子カルテが使えない」と連絡
7時00分総務リーダーに連絡
7時45分サーバーのコンソールでランサムノート(身代金要求文書)を確認
8時15分給食事業者から連絡
8時30分SE到着し、LANの抜線などの対応を開始
8時50分自然災害用BCP(事業継続計画)による災害モードに切替え
9時50分関係各所(法人本部、大阪府、府警など)へ連絡

 始業時間帯であり、出勤してきたスタッフが次々と端末を起動したことで感染は拡大した。最終的に院内にある約2300台のサーバー/端末のうち約1300台が感染。その後、20台程度のサーバーでランサムウェア「Phobos」の亜種による感染を確認した(図1)。電子カルテが使用できなくなったため、院内業務は紙の診療録で代行することになった。そのため診療情報の共有や保管、管理などで現場は混乱した。

図1:大阪急性期・総合医療センターにおけるランサムウェア感染の全体像。①〜⑦は推定される感染の順序

 電子カルテシステムのベンダーからデータの感染状況について第一報が入ったのは11時30分になってから。サーバー室の1次バックアップ、別室にある物理サーバーの2次バックアップが感染。3次のLTO(Linear Tape-Open:データ保存磁気テープ)バックアップでも、システム接続していた第1世代が感染した。LTOの第2世代と第3世代のバックアップの確認が必要だったが、「そのために使える未感染のサーバーがなく、確認したくてもできないという状況だった」と森藤氏は振り返る。