2022年10月31日にランサムウェアによる被害を受けたことが発覚した大阪急性期・総合医療センターについて、攻撃経路が明らかになりました。
従来のランサムウェアによる攻撃の経路は、メールにウイルスを添付して送付して感染させるという手法でした。それが、リモートデスクトップを経由して侵入し感染させたり、VPN装置を経由して侵入し感染させるようになってきました。ある意味、リモートワーク時代に対応した形に変化していったと言っても良いでしょう。ただ、被害範囲としては侵入された組織に限定されたものが大半だったという印象があります。
ところが、大阪急性期・総合医療センターについては直接的に大阪急性期・総合医療センターに侵入したわけではなく、給食提供を受けていた業者を経由して侵入してきたことが判りました。ただ、手法としてはVPN装置経由での侵入+リモートデスクトップ経由での侵入という事のようですので、最近主流の手法を使ったものであり特別なものではありません。
ただ、このような「脆弱な関係先から侵入し本丸を攻める」攻撃経路に関しては相当以前から警告が出ていたものになります。皆さん、一度は聞いたことがあるかもしれませんが、このような攻撃経路を取る手法を「サプライチェーン攻撃」と言います。
サプライチェーン攻撃の良くあるパターンとしては、脆弱な部品メーカーを攻撃し製造を止めることにより、上流の組み立て工場の稼働を止めるという感じになります。サイバー攻撃を受けるのは部品供給メーカーであり、それに連鎖してサイバー攻撃は無いものの上流の製造が止まってしまうのが特徴になります。あと、ソフトウェア開発メーカーの開発環境に侵入し、開発販売しているソフトウェアにバックドア(裏口)を組み込んで、そのソフトウェア利用企業に攻撃を仕掛けるというパターンも多くはないですがあります。
今回の、大阪急性期・総合医療センターの場合は、給食提供業者に脆弱性のあるVPN装置経由で侵入し、その業者のサーバーから窃取した情報を使ってリモートデスクトップで繋がっていた大阪急性期・総合医療センターに侵入してという流れになっています。これも、脆弱だったのは給食提供業者であり、大阪急性期・総合医療センターではないという点に注目したいところです。
いずれにしても、取引先の情報セキュリティ対策が脆弱である場合、そこを経由してサイバー攻撃を受ける可能性は何処にでもある話ですので注意が必要です。手法としても取引先であればメールを使う古典的な手法を取ることも可能ですので一層の注意が必要になります。
対策としては、基本的にこちら側の情報セキュリティ対策をしっかりする(ソフトウェアを最新にとか、ウイルス対策を行う等)ことは一丁目一番地なのですが、他には契約条件に情報セキュリティ対策に関する項目を追加する(例えば、定期的に監査を受けることを求める等)になるかと思います。
中小企業はサプライチェーン攻撃の踏み台になる可能性が高く注意が必要ですが、取引先から被害を受ける可能性もありますので、両面で注意することが必要になります。