Contents
VPNだという結論
3.4.3 調査結果
3.4.3.1 初期侵入 MITRE2 の ATT&CK3 に示されるようにサイバー攻撃の初期侵入は様々あるが、電子カルテシステムや医 事会計システムでは電子メールそのものを使用しておらず、フィッシングメールによる初期侵入は考え難い。 また Web 閲覧は異なるネットワークセグメントの PC で実施し、セグメント間の通信も許可されていなかった。 さらには、外部に公開されたリモートデスクトップ接続(以下、「RDP」という。)等は存在していないため、 公開 RDP 経由の侵入も不可能であった。 その他にも内部協力者がいた事実や、侵害されたソフトウェアのインストールや新規に展開したソフトウェアもなく、 ソフトウェアサプライチェーンの侵害も考えにくい。 このように様々な侵入方法を検討していくと、電子カルテを始めとした医療機器のメンテンナン ス等を行う際に接続する VPN のみが侵入経路と考えられ、当該ネットワークにおいて VPN 装置の脆弱性が 放置されていた事実、また脆弱性を使い取得された VPN 装置の管理者の資格情報がダークウェブで公開さ れていた事実4を鑑みると、VPN 装置の脆弱性を悪用した侵入が考えられ、当該ネットワークを悪用して侵入 した可能性が極めて高い。 なお、Fortinet 社製のネットワーク(VPN)装置は、導入当初からソフトウェアの更新が行われておら ず、2021 年の夏に日本国内でも話題になった「CVE-2018-13379」が放置された状態であり、当該脆弱性 を悪用して侵入した可能性が高い。 本侵入経路を証明するために VPN 装置等のログの分析を試みたが、 インシデント発生後に A 社によってファームウェアの更新などの作業を、ログ保存などを鑑みずに実施されてい たため調査を実施することができなかった。 さらに、本脆弱性は Fortinet 社が 2019 年から 2021 年 6 月までに「4 度にわたり注意喚起を行ってき た」としているが、利用者自身が本情報を収集できずに認知できていなかった体制にも課題があるにせよ、 本脆弱性の説明が利用者に行き届いていないことや、本情報を導入や保守を行っている A 社から利用者へ説 明が行われていないことは、専門家としての対応や責任を果たしていないと言わざるを得