piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた

2022年10月31日、大阪急性期・総合医療センターは電子カルテシステムの障害発生により、緊急以外の手術や外来診療を停止していると公表しました。障害はランサムウエア攻撃が原因と病院は明らかにしています。ここでは関連する情報をまとめます。

障害影響で通常診療が一時停止

  • システム障害が発生したのは、大阪府立病院機構 大阪急性期・総合医療センター。大阪市の総合病院で診療科36、病床数865床。高度救命救急センター、地域がん診療連携拠点病院にも指定されている。
  • ランサムウエアによる実被害及び被害拡大防止措置による影響を受け2022年10月31日20時時点で電子カルテシステム及び関連するネットワークが完全に停止中。そのため、同センター内で電子カルテが閲覧できない状況となった。*1
  • 障害の影響を受け、緊急的対応を要するものを除いた、外来診療、予定手術、新規救急受入の一時的な停止を行っている。システム障害発生以後は、暫定的に紙カルテで対応。また手術延期に伴い一旦退院や転院となる患者もいる。*2 診療受付に関する最新の情報は同センターのWebサイトに掲載。なお、診療報酬の計算、薬の処方もできない状態となっている。*3 復旧時期は基幹システムが12月中旬、全体復旧は2023年1月の見通しを示した。
  • 近隣病院への支援依頼について、個別症例での対応を行った事実は確認していないが、災害、救急対応は調整が済んでいる。*4
  • 今回のシステム障害により入院予定の患者や外来診療など11月7日までに延べ約2670人に影響が出た。また予定手術の内77件が中止となった。*5 なお関連した情報流出の事実は確認していない。また患者の健康状態への影響に関わる問題も発生していない。(いずれも10月31日の記者会見時点)*6
  • 災害拠点病院ではBCPの準備が義務付けられているが、紙カルテの長期運用は想定しておらず、訓練として毎年行っていた状況と全く異なっている、基本情報を記した紙カルテを準備しておくべきだったと災害対策室長もコメント。*7
ランサムウエアによる関連システムへの被害状況

〇 大阪急性期・総合医療センター

感染が確認されたサーバー 31台 *8(院内全体では約100台が稼働)
不審な通信の形跡が確認された端末 約1,300台(院内端末の半数相当)*9
  • 2022年12月11日時点で端末の復旧は200台余り(1割程度)に限られ紙カルテでの運用を継続していたが、22日以降は端末の復旧が進み紙カルテの運用を終了した。*10
  • システム復旧にあたっては、全てのサーバー、端末の初期化及び再インストールを実行。

〇 生長会

ベルキッチンサーバー 3台
NAS 3台
障害後の診療サービスへの影響
日付 診療サービスへの影響
2022年10月31日~11月3日 緊急を除く通常診療は原則停止。
2022年11月4日以降 通常診療の内、予定手術は一部再開。
2022年12月22日以降 呼吸器内科、血液・腫瘍内科を除く34の診療科で外来初診患者の受付を再開。
2023年1月4日以降 全ての診療科での受付を再開。
2023年1月11日 通常診療に係るシステムが復旧。通常の受付手続を再開。

Phobosとみられる攻撃

  • 専門家チームによれば攻撃に用いられたランサムウエアはPhobosの亜種「Elbie」(拡張子が全てelbieだった)とみられ、当時サーバー上の画面に英文の脅迫メッセージが表示されていた。*11
  • 脅迫メッセージの概ねの内容として、「全てのファイルを暗号化しました。復号したければメールを送ってください。24時間以内に返信がない場合はこのメールアドレス宛に送ってください。復号にはビットコインを支払ってください。金額はあなたがメールを我々にいかに早く送るかによって変わります。支払い後にすべてのファイルを復元するツールを送ります。」とするもの。なお、被害に遭ったのはサーバーでPCではランサムウエアは確認されていない。*12
  • 同センターは脅迫メッセージに記載された連絡は行っておらず今後も含め交渉に応じない方針。対応については厚生労働省などとも協議する予定。
  • 事前に講じていた対策について、同センターは徳島県の事例を受け、通信機器のファームエアやウイルス対策ソフト本体の更新(直近では2022年8月頃に実施)などセキュリティ対策を講じていた。
  • バックアップは週に1回フルバックアップを取得しており、差分バックアップを日次で取得。保存先はストレージ (HDD)及びテープ形式でも取得しているが保全状況やバックアップ先との接続箇所について安全性を含め状況を確認中。

再発防止策等検討の調査委員会立ち上げ

  • 外部の有識者を含めた調査委員会を2023年1月下旬に設置し、3月末までに原因や再発防止策を含む報告書のとりまとめをする予定。*13 *14

政府の動き

給食提供サービスのサーバーから侵入された可能性

  • 厚労省派遣の専門家チームの調査結果より、同センターが委託していた給食提供サービス(ベルキッチン)の事業者である生長会のデータセンター内サーバーを通じて侵入された可能性があることが判明。また同センターに対してはアジアを通信元とする不審なアクセスが大量に発生していたことが通信ログより確認された。なお、生長会は同日公表した障害報告で関連については調査中だとする見解を示している。
  • 同センターの電子カルテのオーダリングシステムで疾患や食事内容など食事情報に関係する発注が行われ、まず院内の給食関係のシステムに情報が集約された後、ベルキッチン宛に送信される仕組みであった。サーバー間はベルキッチン側の仕様でRDPによる接続が常時行われていた。
  • 攻撃はVPN機器に対して行われており、機器はデータセンターのリモートメンテナンス用に使用されていたとみられ、同センターは徳島県つるぎ町立半田病院と同一機器(Fortigate)だったと公表。(半田病院の報告書ではFortiGate 60Eと報告。)さらにこの機器は当時5.4.8のバージョンが使用されていたことからソフトウエアの更新も行われていない状態であり、脆弱性が悪用された可能性がある。加えて、2021年に流出していたFortigateの認証情報のリストに含まれていたことも明らかとなった。
  • 侵入以後は、ウイルス対策機能などが無効化された形跡が確認されている。*16
  • 当該サービスは生長会の4病院とそれ以外の4病院で利用していたが、電子カルテシステムに影響が及んだのは大阪急性期・総合医療センターのみ。外部の病院である大阪警察病院、湯川胃腸病院、堺市立総合医療センターはいずれも診療サービスに影響は及んでいない。湯川胃腸病院のみ、発生日当日給食が予定通りの時間よりも2時間ほど遅れて届いた。*17
大阪急性期・総合医療センターが攻撃を受けたとみられる流れ

関連タイムライン

時系列 出来事
2022年10月31日 6時頃 ベルキッチンの一部端末でシステム障害が発生。
同日 6時38分 大阪急性期・総合医療センターの電子カルテシステムで障害発生。
同日 7時20分頃 生長会がランサムウエア感染の可能性を確認し、委託元病院のサテライト職員に対してネットワークを遮断を指示。
同日 7時過ぎ システム障害の発生を同センター職員が把握。
同日 8時頃 同センターのヘルプデスク事業者よりシステム事業者に連絡。
同日 8時半頃 システム事業者が同センターに到着し調査を開始。
同日 9時頃 生長会、大阪急性期・医療センターがランサムウエア感染を確認し電子カルテシステムなどを停止。
同日 9時 同センターが外来診療等の通常の診療サービスを一時的に停止すると案内。
同日 11時半過ぎ 同センターから大阪府警へ被害相談のために通報。*18
同日 18時頃 生長会がFortigateのバージョンアップを実行。これに起因するとみられるログの消失が発生。
同日 20時頃 同センターがシステム障害発生を受けて記者会見を開催。
同日 21時頃 11月1日の同センターでの診療を休診とすることを公表。
2022年11月1日 同センターが当面の間診療を休診とすることを公表。
2022年11月7日 生長会がランサムウエアによるシステム障害の発生を公表。
同日 同センターが生長会の給食提供サービスのサーバーから侵入された可能性があると記者会見で公表。
2022年11月10日 検査予約等を除いた三次救急患者受け入れ、小児救急診療の一部(診察、処方箋発行、予約取得)を再開。
2022年11月17日 一般救急患者の受け入れを再開。
2022年12月12日 電子カルテを含む基幹システムが再稼働。
2022年12月22日 呼吸器内科、血液・腫瘍内科を除く34の診療科で外来初診患者の受付を再開。紙カルテでの暫定運用を終了。
2023年1月4日 全ての診療科での受付を再開。
2023年1月11日 画像診断、生理検査等の通常診療に係る部門システムの復旧が完了。通常診療体制に復旧。
2023年1月25日 外部の有識者による調査委員会第1回会合開催。*19
2023年3月28日 情報セキュリティインシデント調査委員会の調査報告書を公開。
2022年10月31日の記者会見

www.youtube.com

2022年11月4日の記者会見

www.youtube.com

公式発表

更新履歴

  • 2022年11月1日 AM 新規作成
  • 2022年11月2日 AM/PM 続報反映、記事タイトル変更
  • 2022年11月8日 AM 記者会見を受けて続報反映
  • 2022年12月30日 AM 続報反映
  • 2023年1月4日 PM 続報反映
  • 2023年1月12日 AM 続報反映

*1:大阪の病院で電子カルテシステムに障害、「ランサムウェア」によるサイバー攻撃か,読売新聞,2022年10月31日

*2:サイバー攻撃受けた大阪の病院 影響長期化か 入院患者転院も,NHK,2022年11月2日

*3:大阪急性期・総合医療センター サイバー攻撃で診療影響続く,NHK,2022年11月1日

*4:大阪の病院にサイバー攻撃か 外来診療や一部手術停止,共同通信,2022年10月31日

*5:サイバー攻撃被害の病院、手術77件を中止 完全復旧は来年1月めど,朝日新聞,2022年11月7日

*6:大阪の医療センターにサイバー攻撃 手術延期、外来診療できない状態,朝日新聞,2022年10月31日

*7:サイバー攻撃受けた大阪の病院、災害用BCPは作成していたが…「訓練とは全く違った」,読売新聞,2022年12月11日

*8:サイバー攻撃受けた病院 給食業者経由でウイルス侵入か 大阪.NHK,2022年11月7日

*9:大阪の病院サイバー攻撃、手術中止77件 完全復旧年明け,日本経済新聞,2022年11月7日

*10:サイバー攻撃受けた大阪の病院 新規外来受け入れ段階的再開へ,NHK,2022年12月12日

*11:サイバー攻撃の連鎖か 大阪の病院、システム接続の別法人も被害判明,朝日新聞,2022年11月7日

*12:大阪急性期・総合医療センターでシステム障害 サイバー攻撃か,NHK,2022年10月31日

*13:大阪急性期・総合医療センター 11日から通常診療へ,NHK,2023年1月10日

*14:大阪急性期・総合医療センター、通常診療に関わるシステムが完全復旧,日経クロステック,2023年1月11日

*15:医療センターへのサイバー攻撃、復旧めど立たず 専門家派遣=官房長官,Reuters,2022年11月1日

*16:【速報】大阪・堺市の「給食提供施設」にもサイバー攻撃 31日に攻撃があった『大阪急性期・総合医療センター』に給食提供 吉村知事「給食事業者のサーバーから侵入した可能性高い」業者の機器は去年サイバー攻撃受けた徳島の病院と同一,MBS NEWS,2022年11月7日

*17:病院へのサイバー攻撃、リモート操作許し被害拡大か 3病院にも影響,朝日新聞,2022年12月23日

*18:【速報】“サイバー攻撃”か 「大阪急性期・総合医療センター」システム障害 復旧に努めるも診察停止続く,カンテレ,2022年10月31日

*19:サイバー攻撃で一時診療停止の病院 調査委の初会合 大阪,NHK,2023年1月25日