ランサムウェア、徳島県の病院から学ぶこと

朝日新聞編集委員(サイバーセキュリティ担当専門記者)須藤龍也

 四国山地をつらぬく吉野川沿いにひらけた人口8千人ほどの徳島県つるぎ町。手延べそうめんの里で知られる静かな中山間地域の病院がいま、サイバー攻撃を受け、困難と立ち向かっている。
 県西部で唯一お産を引き受けるなど、基幹病院である町立半田病院だ。10月31日未明、ランサムウェア(身代金ウイルス)によって、患者の診察記録を預かる電子カルテが失われるなど甚大な被害を被った。
 救急や新規患者の受け入れを中止し、手術も可能な限り延期するなど、この日から病院としての機能は事実上、停止した。
 日本におけるランサムウェアの被害で、住民生活を脅かす深刻な事態に発展した初のケースとみられる。復旧作業は今も続いており、来年1月の通常診療再開を目指している。
 この未曽有の脅威から、私たちが学ぶことは何か、考えてみたい。

プリンターが吐き出した「犯行声明」

LockBitによる犯行声明

 ランサムウェア攻撃は10月31日午前0時半ごろ、深夜の病棟に置かれていた十数台のプリンターが、一斉に印字を始めたことで発覚した。
 印刷の指示を出したのは、パソコンに感染していたウイルス。国際的サイバー犯罪集団「LockBit」による犯行声明だった。
 「Your data are stolen and encrypted」(あなたのデータは盗まれ、そして暗号化された)
 「The data will be published…」(データは公開されるだろう)
 英文の犯行声明には、サイバー犯罪集団と接触するために必要な、ダークウェブのアドレスが記されていた。病院側はその後、犯人側と接触したり、交渉したりしないことを決め、アドレスにはアクセスしていないとしている。
 犯行声明がプリンターから吐き出された直後、病院内のネットワークに接続された、電子カルテシステムが動かなくなった。さらには200台近くあるパソコンのうち40台ほどのデータが暗号化されたことが、のちの調査で判明した。
 これらの原因は、患者の記録を保存する電子カルテシステムや、Active Directoryのサーバーがランサムウェアに感染していたことで引き起こされた。
 トラブル発生の一報を受け、駆けつけた病院のシステム担当者は、サーバー室にあるモニター画面を見て、頭が真っ白になった。赤色の文字で「重要なファイルが暗号化された」と表示されていた。
 気を取り直し、深夜の病院で一人、パソコンのLANケーブルを全て引き抜き、バックアップサーバーの電源も切断した。だがオンラインでつながれていたバックアップも、すでに被害を受けていた。

これは「災害」だ

 一夜明け、病院側は近隣の病院に連絡を取り、救急患者を代わって受け入れてくれるよう依頼した。CTやMRIの画像サーバーも被害を受け、検査ができなくなった。会計など医療事務関連のシステムも動かなかった。
 病院の置かれている状況は、大災害が直撃した被災地と変わらなかった。病院側は災害対策本部を立ち上げ、トップの病院事業管理者が非常事態を宣言した。
 復旧に向けて真っ先に動き出したのは、災害派遣医療チームである通称「DMAT(Disaster Medical Assistance Team)」のメンバーだった。DMATは厚生労働省が任命する特命チームだ。
 徳島県西部にある半田病院は、南海トラフ地震を想定した事業継続計画(BCP)を作っていた。停電発生時などでも「最低限の医療を維持」するフェイルセーフの発想に基づき、訓練を重ねていた。
 サイバーテロで役に立つとは思ってもみなかったと、病院スタッフはいう。
 動かない電子カルテシステムを諦め、以前の紙カルテを使った診察に移行した。会計システムの停止で診療報酬が算出できず、診察費用を後日請求することになった。
 病院内の初動対応は、DMATの災害支援スタイルに沿って進められた。
 各部門から2時間おきに報告が入り、それを時系列でホワイトボードに書き込む。「クロノロジー(Chronology)」と呼ばれる災害や緊急時の情報管理手法だ。
 日が経つにつれ、復旧に向けて取り組まなければならない事項が増える。今度はそれを、「ToDo」(するべきこと、問題解決)リストとして書き出し、完了すると赤いペンで項目の左側にチェックを入れていった。
 これらはすべて、DMATの訓練メニューに盛り込まれている。
 対策本部の運営や役割分担は、日々の訓練で事前に決められている。サイバー攻撃で大混乱する現場の中でも、対策本部がスムーズに運営できたのは、こうした背景があった。

「インシデント対応」全員一丸で

 セキュリティインシデントやシステムトラブルといえば、組織の情報システム担当者が事案に対応するのが一般的だろう。
 ところが半田病院は、全職員が一丸となって復旧に向けて動いた。
 それは、災害対策本部に掲げられた「基本方針」からも読み取れた。
 「今いる入院患者を守る」
 「外来患者は基本的に予約再診のみ」
 「電カル(電子カルテ)復旧に努める」
 「皆で助けあって乗り切ろう!」
 例えば、200台近くあるパソコンがランサムウェアに感染しているかどうかのウイルスチェック。システム担当者が簡単なチェック表を作り、看護師や事務職員がそれを見ながら手分けして作業した。
 「感染洗い出し作業作戦」と銘打ち、その結果、40台近いパソコンの感染を1日で見つけた。感染したパソコンは、赤い丸のシールを貼って、対策本部に運び込み「隔離」した。
 院内の医療機器のチェックや、被害を受けたサーバーの調査依頼、外部ベンダーとのやりとりなど、やらなければならないことは山ほどあった。

「たった1人」のシステム担当者

 半田病院はベッド数が120床の中規模病院だ。システム担当者が1人で、全てを切り盛りしていた。だが今回のような未曾有の脅威に対し、1人で対処することは到底不可能だった。
 システム担当者によれば、病院全体のシステムが停止するという事態は初めて。むろん、サイバー攻撃の被害を経験したことも生まれて初めてだった。
 「1人で作業をしていたら間違いなく心が折れていました」というシステム担当者は、病院一丸となって困難に立ち向かう体制に感謝していると語った。
 一方で、人命に直結する病院のシステムが1人で支えられていたという事実は、大きな課題と言える。機器の調達からシステムトラブルなど、すべてをこなす必要があり、自ずとベンダーに任せてしまう傾向が出てくる。

汚染されたPC
復旧作業

 今回、ランサムウェアに感染したきっかけは、完全に特定できていない。ただ取材を進めると、「外部のインターネットと切り離している」という病院内のネットワークに、複数のVPN機器が接続されていたことがわかった。
 多くはベンダーが設置した、リモートメンテナンス用の機器だった。管理については設定も含め、ベンダー側に任せていた、とシステム担当者は説明した。
 システム担当者が1人という背景事情には、病院経営の構図も関係しているようだ。収入は国が定める診療報酬に依存しているため、病院の規模や診療科によって自ずと上限が見えてくる。
 つまり、安定した病院経営を目指すためには、事務部門やバックオフィスを効率化せざるを得なくなる。
 同じような事情は、日本中の病院が抱えている。病院プロパーのシステム担当者がおらず、地元のSIerが週2、3日の契約で常駐する、といったケースも珍しくないことが、その後の取材で見えてきた。

「悲痛な訴え」あちこちで

 11月下旬、半田病院の詳細なルポ記事を朝日新聞に掲載したところ、複数の病院から連絡が寄せられた。公にしていないが「実はうちも…」といった情報提供だった。

「犯罪集団」が乗っ取った病院の惨状 特命医療チームが立ち向かった(朝日新聞デジタル)https://digital.asahi.com/articles/ASPCY6QS0PCXULZU00D.html

 その内容は、悲痛な訴えと、半ば相談に近いものだった。
 実際に病院に赴いて話を聞いた。応対した理事長や事務長から「何が起きているのか記者さん、教えて欲しい」とまで言われた。
 ランサムウェアに感染した直後のパソコン画面を撮影したというカラー印刷を手渡された。私はスマートフォンで撮影し、その場で懇意にしているセキュリティ専門家に送った。すぐに返事が届き、攻撃を仕掛けたサイバー犯罪集団が判明した。

LockBitのサイト


 その名前を伝えたところ、理事長らは驚いた様子で、手元の資料を私に示した。電子カルテを構築したベンダーによる「調査結果」だった。サーバーのデータベースが読み取れなくなった事実や、ランサムウェアが原因とみられるとまでは書かれていたが、それだけだった。
 ベンダーは大手IT企業で、グループ企業がセキュリティ事業も手がけている。企業のウェブサイトを見れば、自社のセキュリティ人材を「ホワイトハッカー」としてPRしている。
 だが理事長によると、攻撃を受けたランサムウェアに関する情報や、再発防止策についてベンダーの担当者に助言を求めたが、明確な回答はないという。
 そこで私は、この病院に攻撃を仕掛けたサイバー犯罪集団について、情報を暴露するタイプではないこと、ウェブサイトなどを通じて公表もせず、交渉に応じなければそのまま放置されるケースが多いようだと、あるセキュリティ企業の調査リポートに書かれた内容を紹介し、その存在を伝えた。
 理事長は言った。
 「まさにそういう話を聞きたかった。これまで攻撃した連中の実態がわからなかったので、公表したら再び攻撃されるのではないか、下手な動きはできないと、恐ろしくてじっとしていた」

「セキュリティ業界」との距離感

 大手ベンダーが関わっているのに、病院側が知りたいと思う情報がなぜ提供されなかったのか。
 理事長から手渡された調査結果を改めてめくってみた。数ページの資料を見る限り、セキュリティに詳しい人物が関わっている様子は感じられなかった。
 取材の途中から、病院のシステム担当者も同席した。そこで、いくつかの著名なセキュリティ企業の名前を挙げ、話を振ってみた。だが担当者は、いずれも知らなかった。
 担当者曰く、病院に出入りしているベンダーの担当者とも、そうした話題になることはないという。「困ったことがあればベンダーに調査を依頼している」
 私はこの病院のセキュリティと再発防止策について、ランサムウェア被害の後、どのような取り組みをしているのかを聞いた。
 担当者は言った。
 「ウイルス対策ソフトでチェックして、問題がなかったのでそのまま使っています。ベンダーに相談してもピンとこなかったので、手探りの対応が続いています」
 実は半田病院も、対応は手探りだった。
 200台のパソコンのうち40台近くが暗号化の被害を受け、残り160台に対し実施したのは、ウイルスバスターの評価版をインストールし、フルスキャンをかけたことだった。
 ウイルスによっては、パソコンのハードディスクのMBR(マスタブートレコード)を書き換えるものもある。大規模インシデントが発生した際は、隅々にわたり調査する必要があることは、この世界の定石だ。
 半田病院には被害発生直後、セキュリティ対策やデータ復旧のプロを名乗る会社から、売り込みの電話が相次いだ。私が名前を聞いても、聞いたことのない企業ばかりだった。
 売り込みは全て断ったものの、結局のところ一体どこに相談すればいいのか、さっぱり見当がつかなかったという。
 事案対応や調査に至るまで、既存のセキュリティ組織がコミットしている様子は、取材した限りの現場では、見つけることができなかった。

「厚労省ガイドライン」のわかりづらさ

取材に応じた病院のシステム担当者は、皆そろって「ガイドライン」という言葉を口にした。ガイドラインを守っているので、一定のセキュリティ対策はできている--
 病院関係者からは、そんな認識がうかがえる。
 ガイドラインとは、厚生労働省が公表する「医療情報システムの安全管理に関するガイドライン」のことだ。改訂を重ね、今年1月に第5.1版となった。160ページ以上もある。
 ところがこのガイドラインから、昨今のサイバーセキュリティに対する具体的な対策を読み解くことは、正直厳しいものがある。

医療情報システムの安全管理に関するガイドライン 第5.1版(令和31月)

https://www.mhlw.go.jp/stf/shingi/0000516275.html

 患者の診療記録(カルテ)は、医師法で5年間の保存義務がある。従来の紙カルテ運用から、電子化へ移行する流れを受け、ガイドラインは作られた経緯がある。
 ガイドラインを読み進めると、安全な電子保存の「留意事項」や「べからず集」と言った印象だ。クラウド化など、時代の変化に合わせて改訂を重ねたと言える。
 厚労省は今年10月20日付で、「医療機関のサイバーセキュリティ対策チェックリスト」と「医療情報システム等の障害発生時の対応フローチャート」を公表した。チャート図を使い、より具体的な対処の流れを記したものだ。
 ただしこれも、障害発生時の一般的な対処手段のみにとどまる。例えば、機器やサーバーの復旧手段として「再設定や再インストール、バックアップデータのリストア等」としている。
 しかしランサムウェア攻撃は、半田病院のようにバックアップサーバーも被害を受けることが多い。このフローチャートでは、そのようなケースは想定されておらず、対応に行き詰まってしまう。
 さらに情報を盗み取られ、身代金の脅迫という、ランサムウェア特有の事案に対する具体的な対処の項目が見当たらない。
 警察に相談すべきか、セキュリティ企業や危機管理会社の助言を仰ぐべきか。外部に助けを求める手段が記されているだけで、当事者たちの気持ちは変わってくるだろう。
 昨今起きているのは、「システムトラブル」ではない。国際的な犯罪集団による「サイバー攻撃」である。
 より具体的で、踏み込んだ対策が求められるが、セキュリティ業界との距離感といい、早急に克服しなければならない課題が山積している。

(文中の写真は朝日新聞編集委員 須藤龍也様のご厚意でご提供いただきました。厚くお礼申し上げます。)

無断転載を禁じます。