1. コメント

有識者会議の報告をみての感想･疑問点をメモしておく。-- ToshinoriMaeno 2022-07-19 02:21:02

• 一通り読んだ。想像以上のひどさに言葉もない。/日本の現状という評価も。-- ToshinoriMaeno 2022-07-25 09:10:36

行われていることが酷い内容だからこそ、公開されたことには称賛を送りたい。-- ToshinoriMaeno 2022-07-18 01:59:46

病院運営からの要請で作られた委員会であるので、このように思われるのも当然の結論となっている。 https://twitter.com/miyahancom/status/1538071427991355392?s=20&t=cawngxIqtUH_l70NH93Qtg

hatena: https://b.hatena.ne.jp/entry/s/togetter.com/li/1903531

1.1. なにが起きたのか

システム(PC?)がランサムウェアに乗取られて、カルテなどが暗号化されて人質にされた。 2021年10月31日

• 発覚時の脅迫以外に身代金要求があったのかは明らかにされていない。

1.2. 侵入を許したのは

• VPN 装置; FWに守られたネットワークという前提で、内部の防御(ウイルス検査など)は止められていた。

1.3. 発見してどう対応したか

データの回復を急ぐあまり、調査も対策も後回しだったようだ。ログの保全をすることなく、初期化されたり。

• 侵入を想定した体制はない。(IT担当が一名) 危機感はあったが、対応がお粗末。

ログは保全されていない。

1.3.1. フォレンジック

B社としか書かれていない。使えなくなったサーバーの回復主体で、｢鑑識｣ではない。

ファーストフォレンジック(ツール･)を実行するのを指示だけか。 Security/ファスト・フォレンジック

• デジタル・フォレンジックの”フォレンジック”とは犯罪捜査における分析のこと。

暗号化されたデータの復活が中心だったようだ。

• logの保全も不十分らしい。(別途報告があるようだが、非公開)

東京で分解、分析?

応用情報的には"ディジタルフォレンジックス"だそうです

1.3.2. データは復活できたのか

バックアップはあったようだが、それも削除されていたとのこと。(B社)

• オフラインで保存されていたものもあったが、古くて役にたったかはあやしい。

データが復号されたのかはあきらかではない。(難航したとだけ)

• B社がどのようにして、データを復元したのか。記述はない。 暗号化鍵をなんらかの方法で入手したという疑いも残るが、それにしては復号が不完全なような気もする。 バックアップを見つけたという可能性もある。

1.4. 有識者会議

発足は2022年2月 (発覚は2021年10月31日)

1.5. 日経クロステック

ランサム被害の徳島・半田病院、報告書とベンダーの言い分から見える根深い問題 https://xtech.nikkei.com/atcl/nxt/column/18/00001/06927/?n_cid=nbpnxt_twed_it

ランサムウエアの感染経路は米Fortinet（フォーティネット）製のVPN（仮想私設網）装置経由である可能性が高いことを、 今回の調査報告書も指摘した。VPN装置の脆弱性を放置していただけでなく、 病院内LANも「閉域網だから安全」という誤解のもと、 マルウエア（悪意のあるプログラム）対策ソフトの稼働を止めるなどリスクの高い設定で運用していたと明らかにした。

調査報告書は主に3つの要素で構成する。

（1）半田病院の被害の経緯とセキュリティー対策の実態、
（2）有識者会議の委員が指摘したマネジメントや技術などの課題、
（3）課題の克服に必要な対策ーーである。
   (3）の対策のうち、技術面については詳細な解説を別途用意する。

これも含めると、調査報告書は全体で約140ページにわたる。

https://xtech.nikkei.com/atcl/nxt/column/18/01157/041900059/?P=2

1.6. デジタル鑑識研究所

前提 暗号化ファイルの復元→できません https://note.com/folclore/n/nc97b27844a47

ITに金がかかることを知らないひとたち。

1.7. フォレンジック

回復優先で、対応がひどすぎ。まともな調査ができていない。

フォレンジック事業者側

• 基本的にツールを使用するのみであって、詳細な調査が行われていない システムの初期化やVPN機器のアップデートなど、調査を想定したIRが行われていない

調査委員会としての調査はどうだったのか。

https://togetter.com/li/1903531 2022年6月18日 すだちの国からIT界隈をざわざわさせる、徳島県つるぎ町立半田病院のランサムウェア調査報告書

https://togetter.com/li/1903531#c10707349

@komagen 投稿日 2022年06月17日 更新日 2022年06月17日 「徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書」のまとめと感想 https://qiita.com/komagen/items/ec156a2a33a7985ff4b5

• 予算に関する調査検討が不十分に感じた。

データを回復できたことに疑問が残る。-- ToshinoriMaeno 2022-07-18 01:47:54

有識者会議は激おこである https://note.com/folclore/n/nc97b27844a47#a863d4b0-3d21-4761-bd1d-fb496485bada

－サイバー被害の証拠を可視化－ https://dflabo.co.jp/release20220506/

1.8. history

CategoryDns CategoryWatch CategoryTemplate