タグ: サイバーセキュリティ

大阪急性期・総合医療センター サイバー攻撃

大阪府立病院機構が運営する大阪急性期・総合医療センター(大阪市住吉区)で10/31午前に、電子カルテを管理するシステムに大規模な障害が発生し、同センターは緊急以外の手術や外来診療などを停止したと発表しました。またしてもサイバー攻撃です。

攻撃の概要

同日夜の記者会見では、「ランサムウエア(身代金要求型ウイルス)によるサイバー攻撃を受けたとみられる」と公表しています。サーバー機器の画面上に、英語で暗号資産(仮想通貨)ビットコインを要求する文言が表示されたということです。復旧のめどは立っておらず、翌日も診療の全面再開は難しいと説明していました。

徳島県 半田病院でも

2021年10月末には、徳島県つるぎ町の町立半田病院でも同様に、電子カルテを管理するサーバーが狙われました。やはりランサムウエアで、暗号化したデータを復元する代わりに身代金を要求されていましたね。同病院では身代金は払わず、約2か月かけてサーバーを復旧させています。

大阪のケースも

大半の診療が停止したままの大阪急性期・総合医療センターは11/7記者会見し、「センターに給食を納入している業者のシステムからウイルスが侵入した可能性が高い」と公表。電子カルテなどのシステム完全復旧は2023年1月になるとしています。

やはり同センターも2か月以上の期間を要すると想定しているようです。他人事じゃないですよ。全国の医療機関の皆さん。完全に防ぐことは困難ではありますが、いざという時のための備えは十分ですか?

日邦産業 グループ会社のシステム復旧のお知らせ

日邦産業株式会社は9/20、「不正アクセスを受けた当社グループ会社のシステム復旧等に関するお知らせ」を公表しました。8/29に発生した、同社ベトナム工場に対する外部からの不正アクセスについて、システムを完全に復旧し、本日より、すべての業務を再開することになった、という開示です。

4月にはマレーシア工場でも

1ヶ月弱でシステム復旧、ベトナム工場で保存していた情報が外部に流出した事実もなし。ということでスルーしていたニュースなんですが、よくよく見てみるとこの会社、今年4/8にもマレーシア工場のネットワークが第三者によって、不正アクセスを受けてるんですね。

この時も4/22には、同工場のシステムを復旧し、すべての業務を再開しています。いずれも1ヶ月以内にシステム復旧、業務再開ということで評価できる面もあろうかと思いますが、一方で何を学んだの?とか、4カ月間で他の工場の態勢強化とかできなかったの? といった疑問の方が強いですね。

一度目のマレーシア工場の時は、侵入経路を「VPN 機器の脆弱性を悪用された」と開示しているんですが、二度目のベトナム工場については「当局から秘匿するように指導を受けているため、詳細の開示は控える」としている辺りも少々怪しい感じがします。一度起きたことに対しては二度と起こさないための対応が必要ですが、マレーシア事案を受けた改善対応については一切触れられていません。

訴訟なんかも

日邦産業ってフリージア・マクロスから訴えられてるんですね。株主総会決議事項(買収防衛策)の無効を訴えるものです。わきが甘いからこういう面でも攻められちゃうんですな。4月の不正アクセス、8月の不正アクセス。同じ4月と8月に控訴されてるっていうのは、何か関係あるんでしょうかね(考えすぎだと思いますが)。

株式会社サンドラッグ 不正アクセスにより情報流出

株式会社サンドラッグは7/12、「サンドラッグ e-shop 本店及びサンドラッグお客様サイトへの不正ログインについてのお詫びとお知らせ」を公表しました。海外の IPアドレスからの不正アクセスを受け、不正にログイン、一部会員については会員情報が閲覧された可能性があるということです。

株式会社サンドラッグ

サンドラッグは、「サンドラッグ」などのドラッグストアを全国規模で展開する大手小売チェーンです。ドラッグストアは首都圏中心。国道などの幹線道路沿いに建つ郊外型店舗と駅前型店舗の2タイプを主に展開しています。売上高でみると、ウエルシアHD、ツルハHD、コスモス薬品に続く、業界第4位の企業ですね。

不正アクセスの概要

今回行われた不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しているということです。狙われたサイトは「サンドラッグ e-shop 本店」及び、「サンドラッグお客様サイト」だそうです。

7/9~7/11の間に、19,057件の顧客アカウントに不正アクセスがありました。閲覧された可能性がある会員情報は、氏名、住所、電話番号、メールアドレス、パスワード、生年月日、購入履歴、現在の保有ポイントなど。クレジットカード情報は、カード番号頭6桁及び下2桁のみ。

顧客が他社での取引で使用しているIDやパスワードを使いまわしていると、簡単に本人になりすましてアクセスされてしまうんですね。パスワードの使い回し、、、これだけ多くのネットサービスを使用していると、ついつい使いまわしてしまう気持ちはよく分かります。けど、こういうことが起きるんです。気を付けましょうね。

アジアでのサイバー攻撃 自社で気付けない

日本経済新聞は7/8、「アジアのサイバー攻撃、4分の3が外部指摘で発見」という記事を掲載しました。日本を含むアジア太平洋地域の組織がサイバー攻撃を受けた際、76%は外部からの指摘で気づいているとの調査結果が出たということです。これ、結構ショッキングなお話です。

米セキュリティー大手、マンディアント

米セキュリティー大手、マンディアントが公表したレポートなんですが、アジア太平洋地域では自社組織内で攻撃を検知できた割合が24%、外部からの指摘で気づいたのが76%だったとのこと。ちなみに、米大陸では自社組織内での検知が60%、外部指摘が40%だったそうです。

ここでいう「外部からの指摘」とは、警察機関やセキュリティー企業からによる通知のほか、ランサムウエア(身代金要求型ウイルス)を仕掛ける犯罪集団からの脅迫状も含まれています。要するにアジアの企業では、サイバー攻撃を受けたことを自社で検知できていないということですね。

いかに早く検知するか

世界全体で攻撃者が組織内のシステムに侵入してから検知までに要した日数を調べたところ、組織内検知では平均18日程度、外部指摘では28日だったそう。攻撃への対処が10日ほど遅れることで、攻撃者が組織内のシステムを動き回り、企業の被害を拡大させることにつながります。

レポートは「アジア太平洋地域」としてまとめられているようですが、日本だけで見てもこの傾向は当てはまると思われます。システムへの投資をコストと考える傾向の強い日本では、自社システムの運用状況の監視に関しても不十分な企業が多いと思います。

このようなレポートが出れば当然、攻撃側もアジアを狙ってくるわけで、守る側も同じ感覚で防御や監視を強める必要があります。企業のシステムリスクの管理状況(経営陣の認識)を見ていると、その企業のガバナンス全体の状況が見えてくるような気がします。

尼崎市 紛失したUSBメモリー その後

全市民約46万人の個人情報が記録されたUSBメモリーが紛失してしまったという事件。翌日には発見されて、情報の漏えいなどは今のところ確認されていないとか。けど、その後もこの事件をめぐって様々なお話が聞こえてきます。主に再発防止策に関連する話ですね。

スマホのGPS

わずか一日で発見に至った決め手は、スマートフォンの位置情報だったみたいですね。紛失した本人が警察と一緒にスマートフォンの位置情報を追い、吹田市内のマンション敷地内で見つけたんだそうです。当人が鞄にしまったときと同じ状態で発見され、パスワードは変わっていなかったということです。

ほぉ、なるほどね。と思っていたら、宮城県名取市が6/29、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表しました。ダイヤルキー付きで、移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できるんだそう。この専用ケース1万円だそうです。

再発防止策

こうした事件や事故が発生すると、再発防止策を策定することになります。kuniも長年コンプラ関係の仕事していて、こういう光景に接してきました。もちろん対策の完成度が高ければ高いほど良いことなんですが、一方でこれってやりすぎじゃない?とか、対応すべきポイントずれてない?、みたいなこともよくあります。

名取市の対策は1万円の出費ということですから、過剰な対応とまでは言えないでしょうが、情報を持ち出し酔っぱらって、路上で寝てしまったという事件に対するものとしてはいかがなものかという感じがしますね。そもそも自分が持ち出した情報の重みを本人が十分に理解することの方が先でしょうよ。って感じです。

事故や事件はどんだけ防止しても起きてしまうもの。というアプローチを否定するわけではありません。しかし、紛失しても大丈夫。ってことを前提にするような対策ばかり用意しちゃってたら、人災はなくならないと思うんですが・・・。