病院の事例から見えるインシデント要因
はい、前回の記事ではVPNの脆弱性を狙った攻撃に、サプライチェーンが関わっていることについて言及しました。今回の記事では、まずはサプライチェーンが関わっている、具体的な攻撃事例についてお話出来ればと思います。
取り上げるテーマとしては、昨年問題になった病院のランサムウェア感染事例です。「わが社は病院じゃないし」と思われるかもしれませんが、これを取り上げる理由は2つあります。
1つ目の理由は、いずれも被害にあっている病院は中堅企業ぐらいの規模感の組織であるということが挙げられます。攻撃者は病院であるとか、一般企業であるかというのは特に考えずに攻撃してきます。むしろ「本来であれば病院は避けたい」と考えているようです。病院を攻撃すると、世論や法執行機関から「あいつら病院を攻撃するなんて」と非難されたり目を付けられたりします。ですので、攻撃者もそこは若干気にしていたりします。
なので病院をことさら狙っているわけではないと思います。あくまで金銭が目的で、「攻撃先として候補に挙がったから攻撃してみたらそれが病院だった」ということです。話を戻しますと、攻撃を受けた病院の規模感は、日本における企業全体の99%以上を占める中小一般企業の規模に近しく、組織の大きさとして参考になる。これがテーマとして取り上げる理由の一つです。
2つ目の理由は、攻撃を受けたのが公的な病院ということで、説明責任が生じ、手口などが公表されている点です。これが一般企業ですと、「これこれの手口でこういう管理上の不備がありまして」というのは公表されず、会社からしても公表したくない。
個人情報が何件漏れたかくらいは法律の定めで公表しますが、具体的な手口などは公表しない。せいぜい「このVPN装置がやられた」くらいで、どういう管理体制の不備があったかまでは公表されない、もしくは一切されないことも多いです。
しかし病院の中でも、公的な病院は再発防止や説明責任的において、たとえば調査委員会的なものが立ち上げられることで、わりとその内容は公表されています。そして、これは社会的に非常に価値の高いものでもあります。以上の2点から、病院における被害事例を取り上げたいと思います。
