地方独立行政法人岡山県精神科医療センターは2月13日、2024年5月19日に発生した同センターへのサイバー攻撃によるランサムウェア感染について、調査報告書を発表した。
同センターでは2024年5月19日にサイバー攻撃があり、電子カルテをはじめとする院内システムがランサムウェアに感染し、法人内の診療所を含む全カルテが閲覧できなくなる等の被害が発生していた。
同センターでは、医療情報セキュリティの第一人者であり、厚生労働省初動チームとして今回の事案の原因究明にあたった一般社団法人ソフトウェア協会の専門家に事案調査を依頼していた。
同センターでは調査の目的について、「つまびらかに事実を記載し、ひとえに今後の対策にとって重要な情報を正確に把握して、公表すること」とし、同報告書は「一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすることをお願いしてい」るとしている。
なお、ランサムウェアによる攻撃を受けた病院は国内で報告されているもので、同センターが15病院目で、精神科病院としては初の報告例となっている。
同報告書によると、初期侵入が確認できたのは2024年5月13日午前2時41分で、その後、病院内のネットワークのスキャン、バックアップデーターの探索と破壊、Active Directory に登録されたサーバ・端末ユーザー、コンピュータ等の情報の窃取、ウイルス対策ソフトの停止と削除等を周到に実施した上で、5月19日午後1時10分頃から電子カルテシステム等の暗号化が行われている。
被害は、電子カルテシステム等の仮想サーバ23台と仮想用共有ストレージ1台、仮想基盤用物理サーバ3 台、その他の物理サーバ6 台、HIS系端末244台の暗号化によるシステム稼働障害と仮想用共有ストレージのデーター全喪失であった。
病院内のサーバで発見されたランサムウェアは、Microsoft Defender ウイルス対策や、多くのウイルス対策ソフトで検出、検疫が可能なもので、攻撃犯が管理者権限により手動でウイルス対策ソフトの設定を変更、もしくはプログラムの削除等を行った痕跡が発見されている。
侵入の原因については、保守用VPN装置の脆弱性の放置、または推測可能なID/パスワードの使用が考えられるとし、水平展開及び暗号化の原因については、推測可能なID/パスワードが病院内のコンピュータにすべて共通に設定されていたことに加え、一般ユーザーにも管理者権限を付与していたことによるウイルス対策ソフトの設定変更・停止と考えられるとのこと。
