THE杜撰
岡山県精神科医療センターにて、データセンター内VPNの脆弱性を突いたランサムウェア被害で、最大4万人の個人情報漏洩の可能性。原因は、簡易なパスワード設定やファームウェア未更新、IP制限無と考えられている。
読めないけど次のページへのリンクが『パスワードは「P@ssw0rd」』で出オチ感あった。
“装置の更新を怠り、推測されやすいIDやパスワードを使い回していた。他の病院で被害が出ているにもかかわらず、過去の教訓を生かせなかった”
初歩的な対策ができてなかったと。サプライチェーンアタックにもあるように、意識が低い組織があると頭が痛いね。あと、「ランサムウェア」じゃなくて「ランサムウエア」が正しい表記なのかな
"攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた。他の病院で被害が出ているにもかかわらず、過去の教訓を生かせなかった。"
価格と現場にスタッフが来てくれることを重視すると安い中小メーカーが窓口になってるのは地方の業務アプリあるある。
ベンダーがあほ
“攻撃者が不正侵入に利用したと見られるのはデータセンター内にある病院情報システム保守用のVPN装置”
VPNは便利だけどセキュリティホールになりがちだし、侵入されたらダメージがでかすぎる。拠点間でオンプレのシステムは危ないね、、/DCでクラウド型サービスみたいですね。どちらにしろVPNの穴は危険すぎる。
徳島の半田病院の時はVPN装置の運用保守契約を結んでいなかったことが大分批判されていたけど、この病院はどうだったんだろうなあ。
外部から接続する際のパスワードを含めたセキュリティ設定なんか病院側がするとは思えないので外部委託業者の問題だろ。監督できてないというならその通りだが素人だから頼むわけで。
“攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた”
うわぁ、高く売れそうな情報だな。>“氏名や住所、生年月日、病名などを含む最大4万人分の個人情報が漏洩”
ベンダーのリモートメンテ用VPNなので100%ベンダー責任かな
この医療センター内に一人でも詳しいのがいれば、自ら外部保守をしようとしてVPNを使用してパスワードがダメダメであることが分かったはず。結局システムを理解している人の責任で運営する必要がある。
システムベンダーに委託したら管理が杜撰で侵入されましたって…こんなの発注側はどうやって選定したらいいんだろう?外部評価機関とかあるのかな?
危機意識の低さ、悪しき、って書いてるけど病院関係者にはわからんよね。メモリとディスクの区別すらついてない人が大半だよ?俺達が硬膜下血腫とクモ膜下出血の違いも説明できないのと同様にね。罵ると改善するの?
保守作業と保守費ケチる慣習なら悪いとしか。ベンダーの遠隔保守用ならベンダーの悪い慣習。医療は善管義務に縛られているから、SI側の善管義務が自分達と違うレベルなのは認識難しいよね
“同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた”ほんと今の時代海外からめちゃくちゃアタックされるからなぁ。そのせいで年がら年中残業してレポートも上げてたよ。ほんと疲れる
大手もパスワード共有とかやってるから大丈夫だと思った、みたいなのはあるあるだよなあと思いました。たぶん表面的にしか見てないんだよな…。
大阪府立の急性期医療センターの事案と似てる。医療機関ってセキュリティには意識が低い
一次ソースの報告書はこちら。クラウドリフト型のサービス。サポート切れのCisco ASAの脆弱性で侵入され、VMwareESXiの脆弱性を突かれて仮想環境全損。 https://www.popmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf
ジェットアローンのパスワードの「希望」、JTC感があってめっちゃ好き
SSL-VPNのIDパスワードが脆弱と。うんまあ意味分らん。ぶっちゃけ病院とかの場合、壁破られると大体中はやわらかというか古いOSがいたりするんでマジで壁防御が重要になる。
うーむ
最もセキュリティが厳しくないといけない病院が最もセキュリティ意識が低いのいい加減に何とかしてほしいんだけど。セキュリティ基準遵守と監査を義務化すべきでしょ。
どーだろ。IT事業者でもない人間に意識低いとかなあ。このままの流れだとIT自体が衰退せんか。
どうせ金ケチったんだろう、30台程度の小規模システムのようだし / 金払いよくても手抜かれないとは限らんけどね
「素人だからプロに依頼する」で止まるとどのプロに依頼すればよいかの判断、プロの成果物の精査まで進むことができない。プロに依頼する場合でも一定のリテラシーは必要。ITに限った話ではない。
「ひどい」とあざ笑うのは簡単だがこういうのは自戒として見る https://x.com/nabinno/status/1891130377412264216
ちなみに角川もVPN内部に入られた案件だったはず。ゼロトラストがいいよね。GoogleとかもうVPN使ってないはず
攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。更新を怠り、推測されやすいIDやパスワードを使い回していた。パスワードは「P@ssw0rd」
鯖機器に自分で触ろうと、ベンダーにパスワード聞いて唖然とすることはたまにある。rootのパスがあれだったり、一応SSHでのrootログインや昇格は殺してあったりはしても…。
ランサムウエア被害の岡山県精神科医療センター、背景に危機意識の低さと悪しき慣習
THE杜撰
岡山県精神科医療センターにて、データセンター内VPNの脆弱性を突いたランサムウェア被害で、最大4万人の個人情報漏洩の可能性。原因は、簡易なパスワード設定やファームウェア未更新、IP制限無と考えられている。
読めないけど次のページへのリンクが『パスワードは「P@ssw0rd」』で出オチ感あった。
“装置の更新を怠り、推測されやすいIDやパスワードを使い回していた。他の病院で被害が出ているにもかかわらず、過去の教訓を生かせなかった”
初歩的な対策ができてなかったと。サプライチェーンアタックにもあるように、意識が低い組織があると頭が痛いね。あと、「ランサムウェア」じゃなくて「ランサムウエア」が正しい表記なのかな
"攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた。他の病院で被害が出ているにもかかわらず、過去の教訓を生かせなかった。"
価格と現場にスタッフが来てくれることを重視すると安い中小メーカーが窓口になってるのは地方の業務アプリあるある。
ベンダーがあほ
“攻撃者が不正侵入に利用したと見られるのはデータセンター内にある病院情報システム保守用のVPN装置”
VPNは便利だけどセキュリティホールになりがちだし、侵入されたらダメージがでかすぎる。拠点間でオンプレのシステムは危ないね、、/DCでクラウド型サービスみたいですね。どちらにしろVPNの穴は危険すぎる。
徳島の半田病院の時はVPN装置の運用保守契約を結んでいなかったことが大分批判されていたけど、この病院はどうだったんだろうなあ。
外部から接続する際のパスワードを含めたセキュリティ設定なんか病院側がするとは思えないので外部委託業者の問題だろ。監督できてないというならその通りだが素人だから頼むわけで。
“攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた”
うわぁ、高く売れそうな情報だな。>“氏名や住所、生年月日、病名などを含む最大4万人分の個人情報が漏洩”
ベンダーのリモートメンテ用VPNなので100%ベンダー責任かな
この医療センター内に一人でも詳しいのがいれば、自ら外部保守をしようとしてVPNを使用してパスワードがダメダメであることが分かったはず。結局システムを理解している人の責任で運営する必要がある。
システムベンダーに委託したら管理が杜撰で侵入されましたって…こんなの発注側はどうやって選定したらいいんだろう?外部評価機関とかあるのかな?
危機意識の低さ、悪しき、って書いてるけど病院関係者にはわからんよね。メモリとディスクの区別すらついてない人が大半だよ?俺達が硬膜下血腫とクモ膜下出血の違いも説明できないのと同様にね。罵ると改善するの?
保守作業と保守費ケチる慣習なら悪いとしか。ベンダーの遠隔保守用ならベンダーの悪い慣習。医療は善管義務に縛られているから、SI側の善管義務が自分達と違うレベルなのは認識難しいよね
“同装置の更新を怠り、推測されやすいIDやパスワードを使い回していた”ほんと今の時代海外からめちゃくちゃアタックされるからなぁ。そのせいで年がら年中残業してレポートも上げてたよ。ほんと疲れる
大手もパスワード共有とかやってるから大丈夫だと思った、みたいなのはあるあるだよなあと思いました。たぶん表面的にしか見てないんだよな…。
大阪府立の急性期医療センターの事案と似てる。医療機関ってセキュリティには意識が低い
一次ソースの報告書はこちら。クラウドリフト型のサービス。サポート切れのCisco ASAの脆弱性で侵入され、VMwareESXiの脆弱性を突かれて仮想環境全損。 https://www.popmc.jp/wp-content/uploads/2025/02/24bb9b94f7eb10eff58b605c01c384ad.pdf
ジェットアローンのパスワードの「希望」、JTC感があってめっちゃ好き
SSL-VPNのIDパスワードが脆弱と。うんまあ意味分らん。ぶっちゃけ病院とかの場合、壁破られると大体中はやわらかというか古いOSがいたりするんでマジで壁防御が重要になる。
うーむ
最もセキュリティが厳しくないといけない病院が最もセキュリティ意識が低いのいい加減に何とかしてほしいんだけど。セキュリティ基準遵守と監査を義務化すべきでしょ。
どーだろ。IT事業者でもない人間に意識低いとかなあ。このままの流れだとIT自体が衰退せんか。
どうせ金ケチったんだろう、30台程度の小規模システムのようだし / 金払いよくても手抜かれないとは限らんけどね
「素人だからプロに依頼する」で止まるとどのプロに依頼すればよいかの判断、プロの成果物の精査まで進むことができない。プロに依頼する場合でも一定のリテラシーは必要。ITに限った話ではない。
「ひどい」とあざ笑うのは簡単だがこういうのは自戒として見る https://x.com/nabinno/status/1891130377412264216
ちなみに角川もVPN内部に入られた案件だったはず。ゼロトラストがいいよね。GoogleとかもうVPN使ってないはず
攻撃者の侵入経路はデータセンターに設置した保守用のVPN装置だった。更新を怠り、推測されやすいIDやパスワードを使い回していた。パスワードは「P@ssw0rd」
鯖機器に自分で触ろうと、ベンダーにパスワード聞いて唖然とすることはたまにある。rootのパスがあれだったり、一応SSHでのrootログインや昇格は殺してあったりはしても…。