サイバーディフェンス研究所を抱える会社がこれか。。

全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。

報告書読んだら2018年の段階で脆弱性が報告されていたVPN機器を脆弱性放置(セキュリティパッチを当てていなかった模様)して使用していたらランサムウェア被害にあったとのこと。

あほ。

#

大阪急性期・ 医療センター

サイバー攻撃受けた病院 調査委が報告書 対策の不備を指摘

職員2千人のPWも使い回し


サイバー被害の大阪の病院、複数サーバーで共通パスワード使用

末端がやらかしたのかな。

日本の大手ITベンダー/SIerほど技術力が20年前から止まってるからな…

こういう企業への過度の配慮が日経の良くないところ。時に記事がステマと感じる時もあるのは持ちつ持たれつの証拠。朝日デジタルの記事はこちら。

ベンダーは適当に初期パスワードを設定するけど積極的に変更を求めないからユーザーもわざわざ変えない→VPNが破られるとおしまい。

他と繋がってないから大丈夫です！

→翌日、他部署の委託がUSBフラッシュメモリを閉域の装置に繋いだ際にウィルスが解き放たれる。

※前職の実話です。

NECはセキュリティが弱い会社だということ

お粗末だわね

#

（全然他人事じゃない。。。）

今の時代、完全閉域は難しくどこかでインターネットに接続する環境が必要になることがほとんどなので、いかに安全にネットにつなぐかを考える必要がありそう。
病院だけでなくOT（製造業の制御系システム）の世界も同じ。

結局はVPN機器のセキュリティホールのようで見出しには少し違和感を感じますが、運用意識として「使い回しダメ！」をメディアが言うのは必要な啓蒙かもしれませんね

パスワードを知ってるスタッフが退職・異動するたびに別のパスワードに変えるもんじゃないの？

#

「VPN も"閉域網"として解釈するようになった」「VPN のパスワード管理をおろそかにした」の合わせ技ってことかね。

病院の電子カルテシステム
ID パス

このようなことをやっていたら意味はありませんが。

閉域網にすると何がうれしいかというと、レガシーなOSで動いてる脆弱な機器をリプレースせずに守れるからなんですよね。結局はお金の問題に帰着するわけで、要するに日本経済が悪い（笑）

#

閉域網神話…信じている人がいたのか(;'∀')

認証方法が合言葉だけのシステムが脆弱なことなんてアラビアンナイトの時代から分かっていただろうに

やっぱり須藤さんの記事は面白いな。
うーん、朝日新聞購読するかなぁ。すでに新聞は2紙取ってるので3紙目はきついなぁ（と思い続けて何年経ったんだろう＾＾；）

パスワード使い回し、というか "admin123" 固定なの、JTCの様式美よな。なんであんなに固執するのかわからないけど。ちなみにマジレスすると使い回しするでもなく、閉域網神話なんて最初からただの幻想だよ。

閉域網(境界型防御)の話とID/パスワード使い回しの話が混ざってる気がするが…

これNECだからという訳じゃないんだよな。

マイナ保険証、怖過ぎる🙀
どんな危機管理してるんだろう。

開発業務や計算機能力のレンタルでもない限り取引先とVPNなんてやらんと思うが？病院システムってなんか変じゃね。

「これまでの認識を改め、新しい基準でセキュリティー対策に取り組んでいく」
の 事業のトップが取材で語ったのは、 対策を根底から変えるということ。
それは「 神話」との決別。医療業界で長らく言われてきた通説でもありました。

「閉域神話」というよりも、「閉域」のつもりだったが、実は「閉域」ではなかった、ということのような気がする。VPN突破の話は、システムに詳しい人（バージョンを把握していて、セキュリティ情報にもアンテナを張っている）が、客側にいない、且つ …

⚫️マイナカードで生きる権利を奪うな❣️
😭保険証廃止し4月医療受診費値上げ
😡子育て支援は対象外
😆高齢者免許返納者の福祉事業排除
😫資格確認書で不便強要

VPN大丈夫病はあったな。「どのへんが大丈夫なん？」と返したが。
リスク減らすとか、最小権限の原則とか全く理解してないようだったし、単なる「閉域網に甘えた考慮漏れ」の蔓延なのよ。

だいぶ前の話だけど、ある日、GWルーターから警報メールが来た。ログを見るとFLETS網内のIPアドレス(閉塞アドレス)からポートスキャンされてた。当然、NTT東へ連絡、抗議してもらった。閉塞網でも油断はできない...。↓

肝心な部分で記事が途切れてるけど、提示されてる図解や別ソースには、同じ閉域網に繋がってた給食業者が外部からやられて侵入を許したと

つーかパスワード使いまわしとか何考えてんの…

「外部との結節点がある以上、それは閉域網ではない。そういう認識に立って、これからはやります」
言わずもがなですよね。セキュリティをおざなりにし過ぎ。

ここら辺は大いに同意。
閉域網に頼り切っていると水際しか見れない。
内部をどうして行くかに目が行ってくれたら。

うーん。閉域網とはなんぞ?
まあこんな運用よくある話で、境界にふぉーてぃ入れて大満足な構築なんでしょう

ん？（記事中にもあるがタブレットとかスマホ使いたいみたいところの話の方が）

こういうの見たら尚更まずは出来る事やらなってなりますなぁ

閉域って言っててちゃんと閉域に出来てる環境ってどれくらいあるんだろう

『欠陥のある機器がいまだに放置されていたなんて思ってもいなかった。病院の取引先業者のネットワークまではさすがに調べられない』。そこは想定してほしかった…というのは後知恵なのかな。

病院の運用サイドに問題があるという話ではないのか

まぁこれ怖いねぇ。インターネットに直接繋がってなくても見事に攻撃が成功するの分かってもうたわけやし、、

電子カルテ使っててもネットに繋がってないから大丈夫って思ってる医療従事者かなり多い。
というかサイバー攻撃って頭にないところ多いよね。ネームプレートにパス書いた付箋入ってる率😱

vpn使ってても閉域網っていう捉え方だったんだ、、
病院を説得する口上としては仕方なかったかもしれんが、
設計思想も閉域網にしちゃうのはマズイよね

「外部との結節点がある以上、それは閉域網ではない。そういう認識に立って、これからはやります」

「全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態」「使い回しが原因で、サイバー攻撃の被害が拡大した病院があった」 (

「これまでの認識を改め、新しい基準でセキュリティー対策に取り組んでいく」
の 事業トップが取材に語ったのは、 対策を根底から変える内容でした。
それが、医療業界を支配してきた「閉域網神話」との決別です。その具体的内容とは？

閉域網神話なんて、半田病院事件のとっくの前から現場を知っている人間にとっては絵に描いた餅だった。今更気付いたの？という感がぬぐえない。
かく言う僕も、ソーシャルハックやショルダースキミングくらいはしたことがある。かなり簡単。（悪用はしていません）

これのどこが閉域網なんでしょうね・・・・・

＞病院のネットワークと通信回線の接続点に何らかの認証装置を設け、許可された人しか相互にアクセスできない仕組みを取り入れた。医療業界ではこれも閉域網として受け入れるよう、考え方が変わっていった。

こんな運用、業種を問わず国内至る所で見られますね。週明けからIT業界はデスマーチが始まるんじゃ…

USB自宅から持ってきたら、画像焼きますよ？って言ってた病院あったが、そこには任せられないと思って病院を変えた。

思っている以上に病院のセキュリティ意識は低い。

いろいろ間に合わなかったか…。残念
病院のIT担当者はこの記事が言っている本当の実態をすぐに情報収集すべきだし、そうすればいかにヤバいか分かるはずだと思う。私のTLでも問題をきちんと把握できている人はごく少数かな
電子カルテ、IDとPW使い回しでサイバー攻撃被害拡大

今朝の朝日新聞、須藤さんの記事
電子カルテ、IDとPW使い回しでサイバー攻撃被害拡大 NEC構築

直接の原因はVPN装置などの脆弱性放置なんだろうけれど

大阪急性期・ 医療センターのVPN機器は最新パッチ適用してたけど、接続先の給食事業者のVPN機器に脆弱性が残ってて、そこをから病院側ADがクラックされカルテやバックアップにアクセスするユーザ権限奪取されたと

大阪急性期・ 医療センターのVPNルータは最新パッチ適用してたけど、接続先の給食センターのVPNルータに脆弱性が残ってて、そこから感染が広がったと

現実を見てから「神話」を撤回する間抜けしぐさは原発事故でも同様でした。原発はその上でさらに再稼働するんだから発狂しているけどな。

「外部との結節点がある以上、それは閉域網ではない。そういう認識に立って、これからはやります」

え？

複数人で同じパソコンを使ってて、使い回さないと難しい体制だったのかなと思ってしまう。

「全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態」

NECの電カルにも物申したいけど、病院側の意識が悪すぎてねぇ。
管理者がいればいい方で、その管理者がファシリティ会社だったり。金払いが悪くてPCスペック悪いのにシステムのせいにして鬼電クレームとか。医療情報機器はその辺のPC扱いでなく医療機器同様に重要視しないと。

秋の試験問題候補

電子カルテを全国で共有可に 原案

…

＞「外部との結節点がある以上、それは閉域網ではない。そういう認識に立って、これからはやります」

きょうの社会面トップを飾った須藤編集委員の独自ネタ。ＩＤやパスワードの使い回しという問題が、センシティブな情報を扱う電子カルテシステムでも起きていました。

侵入される前提でやるのが10年近く遅いんだよな

1ページ目しか読んでないから結論は分からないけど、

①設計/構築
②運用

は別問題という話でしかないよね。

仕組みを作るだけではダメで、正しくルール通りに運用されているかを定期的に監査しなければならない。どんなに面倒でも。

-
使い回しで崩れた「閉域網神話」

半田病院のタイミングで気づくべきでしたね。まぁ大阪と半田病院は、原因はちがうんですけどね。

＞「外部との結節点がある以上、それは閉域網ではない。そういう認識に立って、これからはやります」

NECからこういう発言出てくる時点でもうおしまいや…

閉域網前提のPW使い回しだったのに、ソコにVPNゲートウェイとか接続しちゃった感じ。
まぁ、PW使い回しはともかく、結構なインフラ事業者でもやってそうだけど。

#

見てる: "

[htb_top]

(｡･ω･｡)ﾉ

蟻の一穴。。
> 給食業者のシステムには、構築した業者が外部から接続するためのVPN装置が取り付けられていた。ここが突破されたのだ。半田病院の時と同じ欠陥を抱えたまま放置されていたことが、後に判明した。

開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい
「設定や管理をNECに任せきりだった」

保守契約は？

某システムのサーバ名、ID、パスワードが全部同じだったことならある。業務名のアルファベット５文字。

あとで読む

「クローズドNWだから安全」で思考停止せずに、適切な対策を打つべしというお話。電子カルテベンダ任せになってしまってる現状も問題ありという指摘も。

うーーん、これNECが悪いのか？
NECのクラウドシステムを使ってたんなら理解できるが、、、

パスワード使いまわしたのが被害拡大の原因ならNECが勝手に使い回すってない気がする。。。

IDはアイデンティティなんだから、必ず一人だけしか使えないようにするのが大事だね。本当に意図した本人かであるかの認証として記憶だけの鍵（IDとパスワード）ではなく、物理的な鍵（携帯やセキュリティキー）も使った認証にしてアイデンティティを保護しないとね

NECは技術力が高いのかもしれないが、サイバー攻撃の多くはこういうがしっかりしていないとな。。。

必要なのはリテラシであり、ハード側でどんなに対応しようとも運用でいくらでも崩壊してしまうという話。
接続に固定IPアドレス要求してくるくせに、パスワードは最大16文字・記号禁止みたいなシステムとか、運用実態はご察しなのでコレを期に見直していただきたい。

NECにはセキュリティ系エンジニアがいないんですかね？

『 #

「外部との結節点がある以上、それは閉域網ではない。」

#

「LANだしねー」ってノリなのかしら

お花畑過ぎる前提条件だし、手間省くために全顧客パスワードは共通とか、こういうところ多いんだろうな。全顧客チェックするだけNECはちゃんとしている方かな。
「NECもその点は理解している。病院の閉域網が機能していることが、使い回しの前提だった。」

外部のネットワークからVPN経由でアクセス出来たらもう閉域網じゃないのでは？

ゼロトラストの重要性。みんな信じない＝一番安全。

病院に行くと4:3のディスプレイにxpの草生えた大草原の壁紙が映っててテプラで（付箋じゃねーぞ）adminのパスワード書いてあったりなんてザラなので
いつかはこうなるだろうと思ってたけどヽ( ・∀・)ﾉ●

現行踏襲とか業界の慣例に盲従していてはいけないな。

> 病院のネットワークと通信回線の接続点に何らかの認証装置を設け〜医療業界ではこれも閉域網として受け入れ

#

そらVPNであってもInternetに繋がっている以上は「閉域網」ではないし、その意味では「閉域網神話」自体は崩れてないと思うんだが？
「閉域」では必要要件を実現できなくなった、という話は、あると思う。どちらにしても認証情報使いまわししてたら、ねぇ…。

「NECが閉域網にこだわるのには、わけがあった。それは、電子カルテシステムのサーバーとパソコンについて、それぞれIDとパスワードを使い回す設定となっていたからだ」の箇所で、だめじゃん、と声に出して反応してしまった。

なんちゃってSSOを要件として求められるから、他の部門システムベンダーもですね…

これは…各病院やNECの担当者は大変。

あはき業界も電子カルテ、マイナンバー端末など導入するんだろうけど、どうなるんだろうか。

すごい… 「

本件は病院だけでなく、工場や家庭でもいえる。閉じたネットワークだから、セキュリティ的対策が緩くても大丈夫という前提があったが、機器が外部接続している時代。前提が崩れているかと。"

「病院内のネットワークに様々な外部の通信回線が相乗りし始めた」ら、それはもう閉域網じゃないよね。

>電子カルテシステムのサーバーとパソコンについて、それぞれIDとパスワードを使い回す設定となっていたからだ。

>センターでは計約2300台あるサーバーとパソコンの保守管理を担う現場の利便性を考え、採り入れたという。

ゼロトラストが必要なのだな。「サプライチェーン攻撃までは正直、認識が薄かった。欠陥のある機器がいまだに放置されていたなんて思ってもいなかった」

こういうタイタニック的なお粗末は過去官公庁案件で見かけたことあるし今の金融関係でもシステム考えるときの前提になってて下手にマイナとか金融商品手を出せない＞

全国展開のシステムでも、共通保守マニュアルにパスワードが書いてあることなんでザラじゃないですか

#