注意喚起:自施設に関連する外部攻撃対象領域の状況把握の重要性について

平素は医療ISACの活動にご理解、ならびにご協力を賜り感謝申し上げます。

さて、厚生労働省から2022年11月10日付で、「医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)」なる通知が発出されております。
サイバーセキュリティ対策の強化について(注意喚起)参事官井上中澤修正20221110-04 (mhlw.go.jp)

その中で、大阪府急性期医療センターの事例を受けて、以下のような記述があります。
「~自組織のみならずサプライチェーン全体を俯瞰し、発生が予見されるリスクを医療機関等自身でコントロールできるようにする必要があることか ら、関係事業者のセキュリティ管理体制を確認した上で、関係事業者とのネットワーク接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実施する。

このような調査について既にお取組中、またはすでに完了しておられる会員様は問題ございませんが、もし未着手の場合、もしくは具体的にはどのような調査を行えばよいか等について決めかねておられる場合、医療ISACとして脅威インテリジェンス調査を行っておりますので、是非ご活用をご検討いただければと存じます。

上記の目的の脅威インテリジェンス調査としましては、外部攻撃対象領域(External Attack Surface:EAS)の可視化(インターネットからアクセス可能なサーバやIOT機器等のリスト一覧の把握)、これらのEASのうち脆弱性の有無とその具体的な内容・危険度、脆弱性の存在するVPN装置等へのログインアカウント情報の漏えいの有無、サーバ等のデジタル証明書の期限切れの検出等となります。

特に米国FortiNet社製のVPN装置であるFortiGateについては、直近の大阪府急性期医療センターの事例を含め、医療ISACが把握している2021年-2022年のランサムウエアの被害事例16件中、実に11件の侵入ルートとなっていた可能性が高いもので、脆弱性(CVE-2018-13379)の存在するこの装置へのアクセス権限(UserIDおよびPassword)の漏えいの有無をチェックすることも可能です。

現在まで医療ISACが行いました同様の調査で、重要な脆弱性が発見されたり、FortiGateの漏えいアカウントに該当することから緊急対策を行ったりすることにより、被害を未然に防ぐ事ができた事例や被害を最小化できた事例は20件以上に上ります。

このように具体的な危険性が高まっている現在、一刻も早いEASの把握とその結果に基づく個別の対策が必要と思われますので、まずは医療ISACの無料相談:お問い合わせ – 医療ISAC (m-isac.jp)をご活用くださいますようお願い申し上げます。

2022年11月17日
一般社団法人医療ISAC

目次