学校法人日本医科大学武蔵小杉病院は2月27日、2月13日に公表した同院へのランサムウェア攻撃による個人情報漏えいについて、第5報を発表した。
同院では2月9日午前1時50分頃に、病棟ナースコール端末が動作不良となり障害を覚知したため、ナースコールシステムベンダーが調査したところ、サーバへのランサムウェア攻撃で患者の個人情報の漏えいが判明していた。
攻撃を受けたシステムは、ナースコールシステムサーバ3台、ナースコール病棟端末1台、患者バイタル監視システム保守用VPN装置1台で、侵入経路は医療機器保守用VPN装置の脆弱性を悪用した不正アクセスであったことを確認している。
同院によると、1月26日に医療機器保守用VPN装置を経由して侵入され、1月29日には病棟端末を介してナースコールサーバ内のデータベースが窃取され、当該データおよびCSVファイルが後日、攻撃者側のリークサイトで公開されたことを確認している。
漏えいした個人情報は下記の通り。ナースコールサーバの仕様上、入院歴の有無にかかわらず患者基本情報が更新される際に自動送信・蓄積される仕組みとなっていたため、被害範囲が拡大したという。
1.外来および入院中の患者:約13万人
項目:患者ID、氏名、性別、住所、電話番号、生年月日
2.職員および2021年以降の臨床実習医学生:約1,700名
項目:職員ID、氏名、性別、生年月日
同院では、対象となる患者に院長名義の封書で個別に「ご報告とお詫び」を郵送している。
同院では下記の対策を講じ、安全体制の強化を図るとのこと。
・組織の強化:病院長直属の医療情報安全管理に対するガバナンス体制を強化。
・技術的対策:VPN装置を含む全システムの点検を継続的に実施し、下記の最新のセキュリティ環境への強化を実施。
VPN装置の脆弱性アップデート情報の入手と早期適用を実施。外部接続は、原則、都度接続の運用に変更。接続元アドレス制限を適用し、インターネットからの攻撃を困難な設定に変更。
すべてのコンピューターの管理者パスワードを推測困難な長いパスワードに変更。
不正侵入の防止と、万一、侵入を受けた際でも院内の水平展開ができない設定対策を実施。
必要に応じて専門家のアドバイスを受け、継続的な脆弱性の更新、多要素認証の導入等攻撃表面の最小化等の保護策を適用。
・人材の育成:全職員へ下記の内容を含む情報セキュリティ教育を定期的に実施。
患者様のプライバシー保護及び法令遵守について
フィッシング・SMS詐欺対策について
推測困難なパスフレーズの策定及びパスワードの使い回し禁止について
ランサムウェアの脅迫状やウイルス検出の際のネットワーク停止手順及び報告体制について
医療機器及び医療情報システム導入時のセキュリティチェック対策について
