Differences between revisions 6 and 7
Revision 6 as of 2022-12-07 01:45:35
Size: 3154
Comment:
Revision 7 as of 2022-12-07 01:57:59
Size: 3637
Comment:
Deletions are marked like this. Additions are marked like this.
Line 53: Line 53:

== 攻撃の横展開 ==
大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意
渥美 友里
日経クロステック/日経コンピュータ
2022.12.01
有料会員限定 (読めていない)

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?n_cid=nbpnxt_twed_it

== 推測 ==
栄養給食管理サーバーの「管理権限」を奪取できれば、やり放題になる可能性はある。

../../ベルキッチン

https://piyolog.hatenadiary.jp/entry/2022/11/01/013707

同センターの電子カルテのオーダリングシステムで疾患や食事内容など食事情報に関係する発注が行われ、
まず院内の給食関係のシステムに情報が集約された後、ベルキッチン宛に送信される仕組みであった。
サーバー間はベルキッチン側の仕様でRDPによる接続が常時行われていた。

https://cdn-ak.f.st-hatena.com/images/fotolife/p/piyokango/20221108/20221108012210.png

給食委託先経由で侵入された可能性 - 大阪急性期・総合医療センター https://www.security-next.com/141214/2

1. 閉域網 VPN RDP

同院では給食をオーダーするために委託先とVPNによる閉域網を構築していたが、
委託先データセンター内のサーバより、院内の栄養給食管理システムのサーバに対して
「RDP(Remote Desktop Protocol)」による大量の不正な通信が行われていたことが、
ネットワークセキュリティ機器のログにより確認されているという。

2. 病院

病院とベルキッチンは患者の食事に関する情報を病院内に設置したサーバー(栄養給食管理サーバー)を介して、やり取りしていた。
病院側はサーバーに、患者の氏名やID、病棟名、食事の種類といった情報を集約。
ベルキッチン側はインターネットとは独立した閉域網を介して、サーバーにRDP(リモート・デスクトップ・プロトコル)接続していた。

ベルキッチンによれば、ベルキッチン側からアクセスできたのは栄養給食管理サーバーだけで、
「電子カルテなどの個人情報が登録されたシステムへのアクセス権限はない」と説明する。 

3. 栄養給食管理システムのサーバ

初期段階で侵害を受けた栄養給食管理システムのサーバからは、
攻撃者が用いたランサムウェアやツールのフォルダが発見されており、
攻撃対象とされたIPアドレスやパスワードなどの情報も含まれていた。

「Active Directoryサーバ」には、各サーバに対するログオンが失敗した大量のログが残存。
特定のIDや複数のパスワードを組み合わせ、ログオンを試行する「総当たり攻撃」が行われたものと見られる。
またセキュリティ機能が無効化された形跡なども見つかった。

病院側のランサムウエアによるデータ暗号化の被害は栄養給食管理サーバーにとどまらず、 ベルキッチン側にアクセス権限がなかった電子カルテシステムを含む基幹システムやそのバックアップのデータにまで及んだ。

4. 攻撃の横展開

大阪の病院は取引業者からランサムウエアがなぜ広がった?「攻撃の横展開」に注意 渥美 友里 日経クロステック/日経コンピュータ 2022.12.01 有料会員限定 (読めていない)

https://xtech.nikkei.com/atcl/nxt/column/18/00001/07441/?n_cid=nbpnxt_twed_it

5. 推測

栄養給食管理サーバーの「管理権限」を奪取できれば、やり放題になる可能性はある。


CategoryDns CategoryWatch CategoryTemplate

MoinQ: Security/ransomware/大阪急性期・総合医療センター/ベルキッチン (last edited 2022-12-07 01:57:59 by ToshinoriMaeno)