/3.3 事案対応の経緯 /3.4.2 調査方法 /3.4.3.1 初期侵入 /3.4.3.2 内部侵入 /3.4.3.5 データの復旧 /JNSA245 /backup /medit /ふじた /ふじたまとめ /コメント /デジタル鑑識研究所 /報告書 /徳丸コメント /日経 /目次 |
/3.4.3.5 データの復旧 B社の報告にさまざまな不満が。
半田病院に必要だったのはレッドチーム
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
この報告書は病院側を擁護する意図で作られたようだ。(業者批判)
この報告書では信頼を回復するにはほど遠い。-- ToshinoriMaeno 2022-08-05 06:33:50
報告書によれば、復旧に当たったB社の対応がひどい。-- ToshinoriMaeno 2022-08-15 13:08:16
- そうさせた病院の責任はある。
つるぎ町立半田病院
1. コンピュータウイルス感染事案有識者会議調査報告書
事故対応アワード (発表したことが評価されたらしい。) https://news.mynavi.jp/techplus/article/20220629-2360460/
1.1. コンピュータウイルス感染事案
コンピュータウイルス感染事案有識者会議調査報告書について https://www.handa-hospital.jp/topics/2022/0616/index.html
報告書 https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
技術編 https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
1.2. 気づき
令和3年10月31日の未明 (2021年)
Lockbit2.0 によるランサムウェア(身代金要求型ウイルス)
(攻撃はそれより前と推測)
- 診療再開だけを目標の活動(それ以外にやれることがなかった様子)
2022年1月4日の通常診療再開
今回のインシデントの原因追求とこれから の対策を講ずるために有識者委員会の立ち上げを計画し、翌月から正式な活動を開始しました。
コンピュータウイルス感染事案有識者会議調査報告書 6月7日
3か月後の調査委員会
発覚時点での、現状保存もされていない。-- ToshinoriMaeno 2022-08-04 14:20:22
- 下手すると、証拠隠滅すら考えられる。
https://togetter.com/li/1903531
3.4.2 調査方法
インシデントに関係する各種ログを直接的に確認することはできず、 あくまでも病院側から提出が可能な資料と、ヒヤリングを行ったのが基本的な調査方法である。
https://www.handa-hospital.jp/topics/2022/0616/index.html 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について
全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、 患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当て インシデント対応を行っていきました。
結果として、対応のまずさも発生。「ランサムウエア対策の勘所」とは思えない。-- ToshinoriMaeno 2022-07-18 09:44:56
調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、 電子カルテより必要に応じて抽出していたデータなどを利用し、 令和4年1月4日に通常診療を再開することが出来ました。
つるぎ町立半田病院コンピュータウイルス感染事案現地調査委員会 もあるが、その報告は?
1.3. 調査報告書
徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 2022 年 6 月 7 日 https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
有識者会議調査報告書によせてより: つるぎ町立半田病院では病院業務が復旧した令和4年1月から 今回のインシデントの原因追求とこれから の対策を講ずるために有識者委員会の立ち上げを計画し、翌月から正式な活動を開始しました。
発生から3か月も経ってからの調査は難しかったろう。
1.4. 本委員会の目的
本委員会の目的は、今後このようなサイバー攻撃を防ぎ、 かつサイバー攻撃に遭ったとしても堅固な情報システムの構築を目指すだけでなく、 全国各地の病院、さらには組織、企業が有する問題点を明らかにし、 サイバー攻撃に耐性のある情報システムの構築、そして組織作りについて一つの指針を与えるものです。
- (目 的)
第2条 会議は、令和3年10月31日に発生した事案に対し、その原因分析、被害状況の実態把握、再発 防止策等など病院運営に関する重要事項について審議し、病院事業管理者(以下「管理者」という。)に提 言する。
令和3年10月31日未明、病院内に設置されていた複数台のプリンタが、一斉に犯行声明を印字し始めたことでインシデントが発覚した。 Lockbit2.0 によるランサムウェア(身代金要求型ウイルス)に感染し、 患者の診察記録を預かる電子カルテなどの端末や関連するサーバーのデータが暗号化され、 データが使用できない甚大な被害が生じた。 ---- 幸いにして、フォレンジックを請け負った事業者が、 (データを確認できる範囲で)元の通り復元をすることができたと考えられる。 その後、端末の初期化対応を行い、端末を再利用したり、システムやネットワークを 最低限見直したりした上で、令和 4 年 1 月 4 日の通常診療の再開にこぎつけることができた。
徳島県つるぎ町立半田病院 コンピュータウイルス感染事案 有識者会議調査報告書 ― 技術編 ―
https://www.handa-hospital.jp/topics/2022/0616/report_02.pdf
1.5. 合同会社デジタル鑑識研究所
ランサムウェアで暗号化されたファイルは取り戻せません
合同会社デジタル鑑識研究所 2022年7月16日 15:29
https://note.com/folclore/n/nc97b27844a47#a863d4b0-3d21-4761-bd1d-fb496485bada
「半田病院は身代金を支払わない方針を決めており、身代金を支払った事実もない」と書くことにより、 フォレンジック業者が依頼者の意に反して身代金を支払ったことを示唆しています。
この報告書を書いた有識者会議は、これら4点を指摘(というより指弾)することで 暗に「業者が身代金を支払ったんじゃね?」と言いたいのです。
1.6. コメント
半田病院のランサムウエア被害は「日本の縮図」、調査報告書があぶり出した3つの課題 島津 忠承 日経クロステック/日経NETWORK 2022.07.05
VPN(仮想私設網)装置を設置した徳島市のベンダー、スタンシステム
電子カルテシステムやVPN装置、ネットワークといった機器やソフトごとに管轄するベンダーが異なっていた。
3.4.2 調査方法
上記は、システムを導入している A 社や、インシデント調査や復旧を行ったB社が実施すべきではあるが、 調査は基本的にファストフォレンジックツールなどのツールを使用するのみであって、 関連する詳細調査が行われていない。 また、システムや端末を初期化していること、VPN 装置などはファームのアップデー トなどを、ログ保存を行わずに実施していることから、ログの調査を実施することはでき
調査委員会としては独自の調査を行うべきではないか。-- ToshinoriMaeno 2022-07-21 01:43:14
3.4.3.2 内部侵入(概要)
その後の侵入等については、B社が実施したファストフォレンジックの報告書である「FF レポート」に基 づいて記載をする。
- 、フォレンジックを行う企業としての対応に不備があると言わざるを得ない。
またこれまで述べた通り、多数の PC やサーバーでログオンの成功や Lockbit2.0 の暗号化されたファイル が確認されている。また 7 台の端末のログオン元となった端末を始め、3 台の端末は AD サーバーへのログ オンが成功していることから、病院内の環境情報などが盗み見られ、全てのネットワークやシステム、端末 にアクセスできた可能性は高く、情報が盗み見または漏洩した可能性は否定できない。