ランサムウェア、徳島県の病院から学ぶこと (
アーカイブ)
四国山地をつらぬく吉野川沿いにひらけた人口8千人ほどの徳島県つるぎ町。手延べそうめんの里で知られる静かな中山間地域の病院がいま、サイバー攻撃を受け、困難と立ち向かっている。
2021年10月31日未明、ランサムウェア(身代金ウイルス)によって、患者の診察記録を預かる電子カルテが失われるなど甚大な被害を被った。
日本におけるランサムウェアの被害で、住民生活を脅かす深刻な事態に発展した初のケースとみられる。
ランサムウェア攻撃は2021年10月31日午前0時半ごろ、深夜の病棟に置かれていた十数台のプリンターが、一斉に印字を始めたことで発覚した。
印刷の指示を出したのは、パソコンに感染していたウイルス。国際的サイバー犯罪集団「LockBit」による犯行声明だった。
「Your data are stolen and encrypted」(あなたのデータは盗まれ、そして暗号化された)
「The data will be published…」(データは公開されるだろう)
英文の犯行声明には、サイバー犯罪集団と接触するために必要な、ダークウェブのアドレスが記されていた。病院側はその後、犯人側と接触したり、交渉したりしないことを決め、アドレスにはアクセスしていないとしている。
犯行声明がプリンターから吐き出された直後、病院内のネットワークに接続された、電子カルテシステムが動かなくなった。さらには200台近くあるパソコンのうち40台ほどのデータが暗号化されたことが、のちの調査で判明した。
これらの原因は、患者の記録を保存する電子カルテシステムや、Active Directoryのサーバーがランサムウェアに感染していたことで引き起こされた。
トラブル発生の一報を受け、駆けつけた病院のシステム担当者は、サーバー室にあるモニター画面を見て、頭が真っ白になった。赤色の文字で「重要なファイルが暗号化された」と表示されていた。
気を取り直し、深夜の病院で一人、パソコンのLANケーブルを全て引き抜き、バックアップサーバーの電源も切断した。だがオンラインでつながれていたバックアップも、すでに被害を受けていた。
一夜明け、病院側は近隣の病院に連絡を取り、救急患者を代わって受け入れてくれるよう依頼した。CTやMRIの画像サーバーも被害を受け、検査ができなくなった。会計など医療事務関連のシステムも動かなかった。
病院の置かれている状況は、大災害が直撃した被災地と変わらなかった。病院側は災害対策本部を立ち上げ、トップの病院事業管理者が非常事態を宣言した。
復旧に向けて真っ先に動き出したのは、災害派遣医療チームである通称「DMAT(Disaster Medical Assistance Team)」のメンバーだった。DMATは厚生労働省が任命する特命チームだ。
病院は、南海トラフ地震を想定した事業継続計画(BCP)を作っていた。停電発生時などでも「最低限の医療を維持」するフェイルセーフの発想に基づき、訓練を重ねていた。
サイバーテロで役に立つとは思ってもみなかったと、病院スタッフはいう。
動かない電子カルテシステムを諦め、以前の紙カルテを使った診察に移行した。会計システムの停止で診療報酬が算出できず、診察費用を後日請求することになった。
病院内の初動対応は、DMATの災害支援スタイルに沿って進められた。
各部門から2時間おきに報告が入り、それを時系列でホワイトボードに書き込む。「クロノロジー(Chronology)」と呼ばれる災害や緊急時の情報管理手法だ。
日が経つにつれ、復旧に向けて取り組まなければならない事項が増える。今度はそれを、「ToDo」(するべきこと、問題解決)リストとして書き出し、完了すると赤いペンで項目の左側にチェックを入れていった。
これらはすべて、DMATの訓練メニューに盛り込まれている。
対策本部の運営や役割分担は、日々の訓練で事前に決められている。サイバー攻撃で大混乱する現場の中でも、対策本部がスムーズに運営できたのは、こうした背景があった。
セキュリティインシデントやシステムトラブルといえば、組織の情報システム担当者が事案に対応するのが一般的だろう。
ところが病院は、全職員が一丸となって復旧に向けて動いた。
それは、災害対策本部に掲げられた「基本方針」からも読み取れた。
「今いる入院患者を守る」
「外来患者は基本的に予約再診のみ」
「電カル(電子カルテ)復旧に努める」
「皆で助けあって乗り切ろう!」
例えば、200台近くあるパソコンがランサムウェアに感染しているかどうかのウイルスチェック。システム担当者が簡単なチェック表を作り、看護師や事務職員がそれを見ながら手分けして作業した。
「感染洗い出し作業作戦」と銘打ち、その結果、40台近いパソコンの感染を1日で見つけた。感染したパソコンは、赤い丸のシールを貼って、対策本部に運び込み「隔離」した。
院内の医療機器のチェックや、被害を受けたサーバーの調査依頼、外部ベンダーとのやりとりなど、やらなければならないことは山ほどあった。
病院はベッド数が120床の中規模病院だ。システム担当者が1人で、全てを切り盛りしていた。だが今回のような未曾有の脅威に対し、1人で対処することは到底不可能だった。
システム担当者によれば、病院全体のシステムが停止するという事態は初めて。むろん、サイバー攻撃の被害を経験したことも生まれて初めてだった。
「1人で作業をしていたら間違いなく心が折れていました」というシステム担当者は、病院一丸となって困難に立ち向かう体制に感謝していると語った。
一方で、人命に直結する病院のシステムが1人で支えられていたという事実は、大きな課題と言える。機器の調達からシステムトラブルなど、すべてをこなす必要があり、自ずとベンダーに任せてしまう傾向が出てくる。
今回、ランサムウェアに感染したきっかけは、完全に特定できていない。ただ取材を進めると、「外部のインターネットと切り離している」という病院内のネットワークに、複数のVPN機器が接続されていたことがわかった。
多くはベンダーが設置した、リモートメンテナンス用の機器だった。管理については設定も含め、ベンダー側に任せていた、とシステム担当者は説明した。
システム担当者が1人という背景事情には、病院経営の構図も関係しているようだ。収入は国が定める診療報酬に依存しているため、病院の規模や診療科によって自ずと上限が見えてくる。
つまり、安定した病院経営を目指すためには、事務部門やバックオフィスを効率化せざるを得なくなる。
同じような事情は、日本中の病院が抱えている。
