piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた

2022年10月31日、大阪急性期・総合医療センターは電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止していると公表しました。障害はランサムウエアとみられる攻撃が原因と病院は明らかにしています。ここでは関連する情報をまとめます。

障害影響で通常診療が一時停止

  • システム障害が発生したのは、大阪府立病院機構 大阪急性期・総合医療センター。大阪市の総合病院で診療科36、病床数865床。高度救命救急センター、地域がん診療連携拠点病院にも指定されている。
  • ランサムウエアによる実被害及び被害拡大防止措置による影響を受け2022年10月31日20時時点で電子カルテシステム及び関連するネットワークが完全に停止中。そのため、同センター内で電子カルテが閲覧できない状況となった。*1
  • 障害の影響を受け、緊急的対応を要するものを除いた、外来診療、予定手術、新規救急受入の一時的な停止を行っている。システム障害発生以後は、暫定的に紙カルテで対応。また手術延期に伴い一旦退院や転院となる患者もいる。*2 診療受付に関する最新の情報は同センターのWebサイトに掲載。なお、診療報酬の計算、薬の処方もできない状態となっている。*3 復旧時期は基幹システムが12月中旬、全体復旧は2023年1月の見通しを示した。
  • 近隣病院への支援依頼について、個別症例での対応を行った事実は確認していないが、災害、救急対応は調整が済んでいる。*4
  • 今回のシステム障害により入院予定の患者や外来診療など11月7日までに延べ約2670人に影響が出た。また予定手術の内77件が中止となった。*5 なお関連した情報流出の事実は確認していない。また患者の健康状態への影響に関わる問題も発生していない。(いずれも10月31日の記者会見時点)*6
ランサムウエアによる院内システムへの被害状況
感染が確認されたサーバー 31台 *7(院内全体では約100台が稼働)
不審な通信の形跡が確認された端末 約1,300台(院内端末の半数相当)*8
障害後の診療サービスへの影響
日付 診療サービスへの影響
2022年10月31日~11月3日 緊急を除く通常診療は原則停止。
2022年11月4日以降 通常診療の内、予定手術は一部再開。

Phobosとみられる攻撃

  • 専門家チームによれば攻撃に用いられたランサムウエアはPhobosとみられ、当時サーバー上の画面に英文の脅迫メッセージが表示されていた。*9
  • 脅迫メッセージの概ねの内容として、「全てのファイルを暗号化しました。復号したければメールを送ってください。24時間以内に返信がない場合はこのメールアドレス宛に送ってください。復号にはビットコインを支払ってください。金額はあなたがメールを我々にいかに早く送るかによって変わります。支払い後にすべてのファイルを復元するツールを送ります。」とするもの。なお、被害に遭ったのはサーバーでPCではランサムウエアは確認されていない。*10
  • 同センターは脅迫メッセージに記載された連絡は行っておらず今後も含め交渉に応じない方針。対応については厚生労働省などとも協議する予定。
  • 事前に講じていた対策について、同センターは徳島県の事例を受け、通信機器のファームエアやウイルス対策ソフト本体の更新(直近では2022年8月頃に実施)などセキュリティ対策を講じていた。
  • バックアップは週に1回フルバックアップを取得しており、差分バックアップを日次で取得。保存先はストレージ (HDD)及びテープ形式でも取得しているが保全状況やバックアップ先との接続箇所について安全性を含め状況を確認中。

政府の動き

  • 厚生労働省の医療機関に対する初動対応支援を行うため、ソフトウェア協会の専門家3名を現場に派遣し感染原因の特定や対応の指示などを行っている。*11

給食提供サービスのサーバーから侵入された可能性

  • 厚労省派遣の専門家チームの調査結果より、同センターが委託していた給食提供サービス(ベルキッチン)の事業者である生長会のデータセンター内サーバーを通じて侵入された可能性があることが判明。また同センターに対してはアジアを通信元とする不審なアクセスが大量に発生していたことが通信ログより確認された。なお、生長会は同日公表した障害報告で関連については調査中だとする見解を示している。
  • 同センターの電子カルテのオーダリングシステムで疾患や食事内容など食事情報に関係する発注が行われ、まず院内の給食関係のシステムに情報が集約された後、ベルキッチン宛に送信される仕組みであった。サーバー間はベルキッチン側の仕様でRDPによる接続が常時行われていた。
  • 攻撃はVPN機器に対して行われており、機器はデータセンターのリモートメンテナンス用に使用されていたとみられ、同センターは徳島県つるぎ町立半田病院と同一機器だったと公表。(半田病院の報告書ではFortiGate 60Eと報告。)さらにこの機器はソフトウエアの更新も行われていない状態で脆弱性が悪用された可能性がある。
  • 侵入以後は、ウイルス対策機能などが無効化された形跡が確認されている。*12
大阪急性期・総合医療センターが攻撃を受けたとみられる流れ

関連タイムライン

時系列 出来事
2022年10月31日 6時頃 ベルキッチンの一部端末でシステム障害が発生。
同日 6時38分 大阪急性期・総合医療センターの電子カルテシステムで障害発生。
同日 7時頃 生長会がランサムウエア感染の可能性を確認し、ネットワークを遮断。
同日 7時過ぎ システム障害の発生を同センター職員が把握。
同日 8時頃 同センターのヘルプデスク事業者よりシステム事業者に連絡。
同日 8時半頃 システム事業者が同センターに到着し調査を開始。
同日 9時頃 ランサムウエア感染を確認し電子カルテシステムなどを停止。
同日 9時 同センターが外来診療等の通常の診療サービスを一時的に停止すると案内。
同日 11時半過ぎ 同センターから大阪府警へ被害相談のために通報。*13
同日 20時頃 同センターがシステム障害発生を受けて記者会見を開催。
同日 21時頃 11月1日の同センターでの診療を休診とすることを公表。
2022年11月1日 同センターが当面の間診療を休診とすることを公表。
2022年11月7日 生長会がランサムウエアによるシステム障害の発生を公表。
同日 同センターが生長会の給食提供サービスのサーバーから侵入された可能性があると記者会見で公表。
2022年11月10日 検査予約等を除いた三次救急患者受け入れ、小児救急診療の一部(診察、処方箋発行、予約取得)を再開。
2022年11月17日 一般救急患者の受け入れを再開。
復旧計画
復旧予定時期 復旧内容
2022年12月中旬 電子カルテの基幹システムを再構築し運用再開を予定。
2023年1月上旬 CT、MRIなど複数の検査システムと基幹システムを接続し、センター全体のシステム再稼働(完全復旧)を予定。
2022年10月31日の記者会見

www.youtube.com

2022年11月4日の記者会見

www.youtube.com

更新履歴

  • 2022年11月1日 AM 新規作成
  • 2022年11月2日 AM/PM 続報反映、記事タイトル変更
  • 2022年11月8日 AM 記者会見を受けて続報反映

*1:大阪の病院で電子カルテシステムに障害、「ランサムウェア」によるサイバー攻撃か,読売新聞,2022年10月31日

*2:サイバー攻撃受けた大阪の病院 影響長期化か 入院患者転院も,NHK,2022年11月2日

*3:大阪急性期・総合医療センター サイバー攻撃で診療影響続く,NHK,2022年11月1日

*4:大阪の病院にサイバー攻撃か 外来診療や一部手術停止,共同通信,2022年10月31日

*5:サイバー攻撃被害の病院、手術77件を中止 完全復旧は来年1月めど,朝日新聞,2022年11月7日

*6:大阪の医療センターにサイバー攻撃 手術延期、外来診療できない状態,朝日新聞,2022年10月31日

*7:サイバー攻撃受けた病院 給食業者経由でウイルス侵入か 大阪.NHK,2022年11月7日

*8:大阪の病院サイバー攻撃、手術中止77件 完全復旧年明け,日本経済新聞,2022年11月7日

*9:サイバー攻撃の連鎖か 大阪の病院、システム接続の別法人も被害判明,朝日新聞,2022年11月7日

*10:大阪急性期・総合医療センターでシステム障害 サイバー攻撃か,NHK,2022年10月31日

*11:医療センターへのサイバー攻撃、復旧めど立たず 専門家派遣=官房長官,Reuters,2022年11月1日

*12:【速報】大阪・堺市の「給食提供施設」にもサイバー攻撃 31日に攻撃があった『大阪急性期・総合医療センター』に給食提供 吉村知事「給食事業者のサーバーから侵入した可能性高い」業者の機器は去年サイバー攻撃受けた徳島の病院と同一,MBS NEWS,2022年11月7日

*13:【速報】“サイバー攻撃”か 「大阪急性期・総合医療センター」システム障害 復旧に努めるも診察停止続く,カンテレ,2022年10月31日