今回は医療機関や介護事業者向けのサービスを提供する事業者が報告したネットワーク侵害について解説します。ファイアウォール入替作業時の設定ミスが引き金となり一部サーバが暗号化される被害が発生しました。本回を聴くことで原因の理解と初動対応、再発防止のポイントを押さえ、同様のリスクを抱える組織が取るべき実務的な対策を学べます。
医療機関・介護事業者向けサービスを提供するアクリーティブ株式会社は10月22日、8月25日に公表した同社ネットワークへの不正アクセスについて、調査結果を発表した。
こちらの記事を、簡単に解説お願いできますでしょうか?
医療機関や介護事業者向けのサービスを提供する事業者は八月二十五日に自社サーバへの不正アクセスを公表し、一部サーバが暗号化されて閲覧不能になったと報告しました。外部セキュリティ専門会社によるフォレンジック調査ではデータセンター内の機器やファイアウォール内の保存ドキュメント、ネットワーク経路におけるファイル流出の痕跡は確認されませんでした。ダークウェブ監視でも現時点での流出確認はないものの完全否定はできないとしています。影響の可能性がある個人データとして取引先情報約二千五百五十件と従業員関連情報約三百七十件が挙げられています。原因はファイアウォール入替作業におけるシステムベンダー側の事前設定ミスで、一部機能が停止したまま設置されたことにより外部からの攻撃を許したと推測されています。初動対応としては外部フォレンジック調査とダークウェブ監視を実施し、再発防止策としてベンダーに対するセキュリティ体制の強化要請と、リスクの高い作業に第三者検証を導入する方針が示されています。
質疑応答
ファイアウォールの設定ミスとは具体的にどのような問題で、どのように攻撃を受けやすくなるのでしょうか?
ファイアウォールの設定ミスとは許可すべきでないトラフィックを通してしまう誤設定や本来有効にすべき防御機能を無効化した状態を指します。例えば管理画面へのアクセス制限が甘くなっていたり、不要なポートが開放されたままだったりすると攻撃者が外部から容易に侵入経路を見つけられます。今回のように機器入替時に設定が正しく適用されていないと保護の穴がそのまま残るため、作業後の構成確認や接続試験が極めて重要です。
今回のような不正アクセスはどのように検知されることが多いのでしょうか?
不正アクセスはログの異常やサーバの動作不良、暗号化されたファイルの出現、監視システムのアラートで検知されることが多いです。IDSやIPS、SIEMにより通信の急激な増加や不審な外部接続を検出します。加えて定期的なファイル整合性チェックやバックアップの差異確認も早期発見に有効で、運用と監視の両面で検知体制を整えることが鍵になります。
ベンダー側の設定ミスを防ぐために事業者側はどのような管理をすべきでしょうか?
事業者側は作業前に明確な作業手順と責任範囲を定め、作業後に実施結果の確認と承認を必須化すべきです。第三者による検証を導入し、構成の自動化や設定の差分管理を行うことでヒューマンエラーを減らせます。またベンダー評価を定期的に行い、セキュリティ体制や過去の実績を含めた契約条項に検証や監査を組み込むことが有効です。
外部流出の痕跡が見つからなくても漏洩の可能性を完全に否定できないのはなぜでしょうか?
フォレンジックで検出できる痕跡は残存するログや保存データに依存します。攻撃者が痕跡を消すためにログを削除したりアクセス経路を巧妙に隠したりすると完全には追跡できない場合があります。さらに通信の暗号化や中継サーバを使われると流出の証拠が残りにくく、外部での二次的な公開を監視しても検出されないことがあるため、可能性を完全否定することは難しいのです。
影響を受けた可能性のある個人への情報公開や対応はどのように進めるべきでしょうか?
まずは影響範囲を特定し、被害の程度とリスクを評価して迅速に関係者へ通知することが重要です。通知内容は何がどの程度影響を受けたか、二次被害を防ぐための具体的な対策と問い合わせ窓口を明示することが求められます。加えて必要に応じて関係当局への報告と補償や監視サービスの提供を検討し、今後の再発防止策を併せて公表することが信頼回復に繋がります。
まとめ
今回はファイアウォール入替時の設定ミスから外部攻撃を許し一部サーバが暗号化された事例を通して、作業後の確認や第三者検証、被害発生時の迅速な調査と通知の重要性を学びました。また一つ、勉強になりました!
