[3-F-1-06] 医療機関の情報ネットワークに対する外部からの不正アクセスに関する分析~ゼロデイ攻撃は行われたのか~
Network, Hospital Information System, Unauthorized access
【背景と目的】医療機関の情報ネットワークはその特性上、安定稼働が最優先される。しかし、扱う情報は重要度の高い要配慮個人情報であるため高いセキュリティで守られることが求められている。
一方、Windows7のサポート終了を来年2020年1月14日に控えた昨今、5月14日にマイクロソフトよりリモートデスクトップサービスのリモートでコードが実行される脆弱性(CVE-2019-0708)が報告され、脆弱性を狙った不正アクセスが増加すると考えられる。
本稿では院内ネットワークと院外ネットワークの境界線に設置したUTM(統合脅威管理)で遮断した外部からの不正アクセス通信ログを解析し、医療機関に対する不正アクセスの傾向について解析した。
【解析方法】UTMから取得した、2017年6月から2019年5月の間のログ情報(約180万件)より、リモートデスクトップサービスの通信ポート(ポート番号:3389)で不正アクセスを試みた数の推移やその傾向等について解析した。
【結果】月別での不正アクセスの件数は増加傾向にある中で、2019年5月の件数は突出していた。その月にフォーカスを当て、日別での不正アクセスの件数はそれ以前の日に比べ5月13日から1.5倍に増加していた。5月14日の発表より先に脆弱性の情報を入手していち早く不正アクセスを試みたのではないかと考えられ、ゼロデイ攻撃が行われたといえる。
【考察】日々脆弱性等の情報が提供される中、検証に時間をかける、周囲の動きを見てから行動を起こすといったことがよく聞かれるが、攻撃者はそれを待つことなく攻撃は行われる。AI等の新たな技術が早いスピードで取入れられるのと同じように、情報セキュリティ対策でも迅速な対応が求められる。
一方、Windows7のサポート終了を来年2020年1月14日に控えた昨今、5月14日にマイクロソフトよりリモートデスクトップサービスのリモートでコードが実行される脆弱性(CVE-2019-0708)が報告され、脆弱性を狙った不正アクセスが増加すると考えられる。
本稿では院内ネットワークと院外ネットワークの境界線に設置したUTM(統合脅威管理)で遮断した外部からの不正アクセス通信ログを解析し、医療機関に対する不正アクセスの傾向について解析した。
【解析方法】UTMから取得した、2017年6月から2019年5月の間のログ情報(約180万件)より、リモートデスクトップサービスの通信ポート(ポート番号:3389)で不正アクセスを試みた数の推移やその傾向等について解析した。
【結果】月別での不正アクセスの件数は増加傾向にある中で、2019年5月の件数は突出していた。その月にフォーカスを当て、日別での不正アクセスの件数はそれ以前の日に比べ5月13日から1.5倍に増加していた。5月14日の発表より先に脆弱性の情報を入手していち早く不正アクセスを試みたのではないかと考えられ、ゼロデイ攻撃が行われたといえる。
【考察】日々脆弱性等の情報が提供される中、検証に時間をかける、周囲の動きを見てから行動を起こすといったことがよく聞かれるが、攻撃者はそれを待つことなく攻撃は行われる。AI等の新たな技術が早いスピードで取入れられるのと同じように、情報セキュリティ対策でも迅速な対応が求められる。