一般的なVPNの危険性について
VPNとは
VPN(Virtual Private Network:仮想プライベートネットワーク)は通信を暗合化することで、院外にあるパソコンをインターネットを経由しながらも盗聴されることなく院内のネットワークに接続することができる便利な技術です。
電子カルテなどの医療システムの遠隔保守作業にはVPNが使われることが多いです。
しかし適切な管理がなされないととても危険な方法とも言えます。
ランサムウェアの感染経路?
警視庁の調査によるとランサムウェアの感染経路の実に54%がVPN機器でトップだったことが報告されています。
警察庁2022年4月7日発表「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf
ちなみに、感染経路としては、リモートデスクトップ20%、不正メールや添付ファイル7%、と続きます。ウイルスの感染経路としては添付メールや不正URLのクリックを思い浮かべがちですが、実態は少し違うようです。
2022年末に大きく報道された徳島半田病院のランサムウェア被害についてもVPNの関与が指摘されています。
半田病院のランサムウェア被害
「電子カルテを始めとした医療機器のメンテンナンス等を行う際に接続するVPNのみが侵入経路と考えられ、当該ネットワークにおいてVPN 装置の脆弱性が放置されていた事実、また脆弱性を使い取得された VPN 装置の管理者の資格情報がダークウェブで公開されていた事実を鑑みると、VPN装置の脆弱性を悪用した侵入が考えられ、当該ネットワークを悪用して侵入した可能性が極めて高い。」
徳島県つるぎ町立半田病院
コンピュータウイルス感染事案
有識者会議調査報告書
2022年6月7日
https://www.handa-hospital.jp/topics/2022/0616/report_01.pdf
少し解説を付け加えてみます。
半田病院で使っていたVPN装置には弱点(脆弱性)があったわけです。ある特殊な方法でアクセスするとこの装置に接続するためのユーザIDとパスワード(資格情報)を外部からもダウンロードできたのです。しかも、その方法で搾取されたと思われる資格情報がダークウェブに公開されていたのでした。ダークウエブとは、一般的には知られていない方法でアクセスを行い極めて匿名性の高いネットワークで、それ故に麻薬取引など非合法な情報のやり取りに使われることも多いウエブサイトコンテンツのことです。不正取得したアカウント情報やクレジット情報などがダークウエブで売り買いされています。
つまり、このダークウエブの情報を見た人間であれば、世界中のどこからでも半田病院の院内ネットワークに侵入できたわけです。
この脆弱性については2019年5月にメーカーより注意喚起が行われ回避策や修正プログラムの提供が順次行われていました。2020年11月にはダークウエブで資格情報が公開されていることが発見され再度の注意喚起があり、2022年9月には該当機器が87,000台あることが分かり国内でも新聞掲載されるなど話題になっていました。
しかし、このような情報が半田病院の関係者に認知されることがなく2021年10月の被害に至ったということです。このことはVPN機器の管理を医療関係者が行うことの難しさと、その危険性を示した事例と捉えることができます。
報告書の「4.2 技術的な課題」では以下の項目が挙げられています。
◇VPN 装置の脆弱性の是正を行っていない
◇VPN 装置への接続元 IP アドレスの限定を行っていない
◇VPN接続の際の多要素認証を行っていない
少し補足しますと、VPN装置の更新プログラムの適用を適時行うこと、接続元を保守会社などのIPアドレス(インターネット上の住所情報)に限定すること、パスワード(知識情報)など成り済ましが容易な要素だけで認証をせず、その人だけが持っている物(所持情報)や指紋(生体情報)などを組み合わせて認証すること、これらの対策をやっていれば被害を食い止めたり少なくできたと言ってい
ます。
厚生省による利用実態調査
厚労省でも医療機関でのランサムウェア被害が広がったことを受けて、VPN装置(リモートゲートウェイ)の利用実態を調査しています。
調査依頼を受けた医療機関様も多かったのではないでしょうか?
厚生労働省 衛生主管部(局)事務連絡 2022年1月21日
「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に掛かる調査について(依頼)」
https://www.mhlw.go.jp/content/10808000/000918818.pdf
調査依頼の中に以下の質問項目があります。
12.VPN装置のアップデートを適切に行っているか。
13.VPN装置へのアクセス元IPアドレスを保守業者等に制限しているか。
14.VPN装置へのアクセス記録は定期的に検査しているか。
12、13は半田病院の課題と同じです。14はログとも呼ばれますが、不正アクセスを検知することに役立つとともに、万が一被害にあってしまった場合に被害実態の把握や復旧の程度や範囲を計るのに役立ちます。
これらの質問項目は厚労省の策定した「医療情報システムの安全管理に関するガイドライン」と対応しています。
「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の解説付き回答要領
https://www.mhlw.go.jp/content/10808000/000923610.pdf
医療情報システムの安全管理に関するガイドライン 第5.2版(本編)(令和4年3月)
https://www.mhlw.go.jp/content/10808000/000936160.pdf
つまり、課題や質問項目は裏を返せばVPN装置を適切に使用するための運用管理方法を述べていると言えます。
しかし、これを医療関係者(医師、看護師、事務スタッフ)が自らやることは実際には難しいと考えられます。
半田病院の報告書「3.4.5.4 VPN装置の脆弱性」の項に次の記述があります。
「C社は電子カルテシステムのアプリケーションが担当(中略)、A社はVPN装置の担当であるが、(中略)、脆弱性情報に関するセキュリティ知識が全く無かったと言わざるを得ない。」
このことは、一見するとITの専門家と見られがちな医療システムのメーカー、ベンダーであっても、情報セキュリティの知識があるとは限らず、VPNの適切な管理ができない場合があることを示唆しています。
IT業の人たちでさえそのような状況であるものを、他に主たる院内業務がありITも専門ではない医療関係者に、一定の情報セキュリティの知識が必要なVPNの管理をしろという方に無理があるように思います。
VPNは便利で使わざるを得ないものと言えますが、適切な管理ができない(管理者がおけない)場合が多く、その際には危険性が残ってしまう仕組みであると言うことができます。
文責 株式会社インキューブ 石田耕治 (登録情報セキュリティスペシャリスト)