(編集部註:2024年10月7日、小森直之氏(一般社団法人日本医療法人協会・副会長/医療法人恵仁会なぎ辻病院・理事長)が一般社団法人医療ISACの代表理事に就任した)
2024 年 3 月に開催された総合セキュリティカンファレンス「Security Days Spring 2024」。ほとんどの講演者がいわゆる IT 分野をバックグラウンドとする中で、文字通り “異彩” を放っていたのが医療 ISAC の代表理事(取材時肩書)、深津 博 氏(取材時所属)だ。医療 ISAC の団体概要を確認したところ、同氏の肩書は「愛知医科大学 医療情報部長・教授、放射線専門医」。誰がどう見ても、歴(れっき)としたお医者様です。
ScanNet 読者諸氏におかれては既知であろう、2021 年から 2023 年にかけて医療機関へのサイバー攻撃が激化し、外来が休止する等、医療機関として大問題へと発展するインシデントが何度も起こった。これを受けて厚生労働省、総務省、経済産業省が、医療情報システムに関わる安全管理ガイドラインを策定したのは記憶に新しい。この大きな IT 改革に取り組む “医療側” のココロとは、どこにあるのだろう。そんな興味で、筆者は 3 月 14 日開催の「医療機関が直ちに行うべきサイバーセキュリティ対策(厚労省ガイドライン 6.0 版対応を含めて)」の講演会場に向かった。
● 2021 年の半田病院でのインシデント、からの 2022 年の大阪急性期医療センター
あまりにも有名になってしまった徳島県つるぎ町立半田病院のランサム被害事例が、本セミナーでもまるで “お手本” のように語られた。本件詳細は割愛するが、VPN 装置 FortiGate のログインユーザー ID とパスワードのリストが大量に漏洩したことに端を発する。8.7 万台分の漏洩データの中に、半田病院のグローバル IP アドレス、ID、パスワードが含まれていた。これは既知の脆弱性(CVE-2018-13379)が放置されていたことを攻撃者が悪用して入手したものだ。脆弱性について開発元の FORTINET は再三再四勧告を出していたが、当該装置については修正がなされていなかった。
「結果的に、この VPN 装置の脆弱性があるということを、半田病院に持ち込んだ事業者は知っていたんですが、対策をしていなかったということが報告されています。この事業者からは、保守契約書の中で VPN 装置の脆弱性を対策することは自分たちの仕事であるというふうには明記されていなかったので、我々の仕事ではない、だから責任はない、といったような説明がされているということです(深津代表理事 [取材時肩書])」
