サイバー攻撃の被害を“拡大させてしまう”典型例が、パスワード管理の甘さと管理者権限の常用です。本連載の第2回では、攻撃者がもっとも狙いやすい入口=パスワード、そして権限運用の落とし穴について、書籍『医療機関のサイバー対策』のQ&Aからポイントを抜粋して解説します。今日から改善できる実務的な対策が分かります。
Q1 パスワードの運用はどうすればいい?
A1 パスワードは長く・個別に設定し、流出時には速やかに変更する
パスワードについてはすべてユニーク(個別設定)とするべきである。たとえばサーバが100台、電子カルテ端末が2,000台あれば、それらはすべてユニークす
なわち異なるパスワードで管理される必要がある。CISベンチマークに基づくと、その桁数は最低14桁以上が必要である。前述の電子カルテシステム更新にあたって、当センターでは16桁とした。なお、セキュリティ上の理由で詳細には記載できないが、個別のパスワードについては完全なランダム文字列としているわけではない。
パスワードの変更については、2017 年に米国国立標準技術研究所(National Institute of Standards and Technology:NIST) が、「パスワードの定期的な変更は行う必要がない」と発表している1)。日本においても、国家サイバー統括室(National Cybersecurity Office:NCO)から「パスワードを定期変更する必要はなく、流出した場合にのみ速やかに変更する」旨が示されている2)。
Q2 リモートデスクトップって便利なの? 危険なの?
A2 リモートデスクトップは便利だが、対策なしの利用は危険。必要最小限で、安全設定が必須
リモートデスクトップは、遠隔地から別の場所にあるパソコンやサーバにアクセスして操作する技術である。たとえば、自宅のパソコンから遠く離れたオフィスにあるサーバに接続することができる。接続するだけでなく、サーバ内のファイルを削除・編集することも可能であり、権限さえあれば新しいアプリケーションをインストールして動かすことも可能である。サイバー攻撃に利用されることも多く、悪意ある攻撃者がウイルスファイルを設置することもできる。
Windows 環境でリモートデスクトップを実現するプロトコルとしてRemote Desktop Protocol(RDP) がよく知られている。RDPを利用する場合、標準では3389 番ポートに専用のチャネルを開き、データを送受信する仕組みになっている。Microsoft が開発したもので、Windows パソコンやWindows サーバに標準で搭載されている。ほかの手段と比較して低コスト、短期間で遠隔操作を始めることが可能であるが、その一方で手軽に利用可能であるために、十分な知識がないままに機能を開放すると重大なセキュリティホールになる危険性がある。
RDP によるサイバー攻撃の事例として、総当たり攻撃を拡大させるマルウェア「GoldBrute」がある。RDP を使ったリモートデスクトップ機能を不適切に公開している端末に対して、ID・パスワードを総当たりでログイン試行するブルートフォース攻撃を行う。総当たり攻撃で不正ログインした端末から、さらに新たな攻撃対象を特定し、総当たり攻撃を繰り返すマルウェアである。テレワーク環境でのRDP利用が増加した2020 年以降に多く報告されており、企業のテレワーク端末が狙われた。
医療機関における対策としては、どうしても必要な場合以外はリモートデスクトップを使用しないのが最も有効である。電子カルテシステムや医療機器のメンテナンスのいずれにおいても、リモートデスクトップ機能が必須である場面は少ない。やむをえずリモートデスクトップ機能を使用する場合は、①多要素認証の導入、②アカウントロックの設定(ログイン試行回数制限)、③接続元IP アドレスの制限、④RDP接続のポート番号を標準の3389から変更する、⑤セキュリティパッチの適用、の対策をお勧めする。
Q3 管理者権限の運用はどうしてダメなの?
A3 管理者権限は常用すると重大なセキュリティリスクを生むため、必要時以外は原則使わない
管理者権限とは、コンピュータやネットワークシステムにおいて、最も高いレベルのアクセス権限を持つユーザーに与えられる権限である。管理者権限を持つユーザーは、システムの設定変更、ソフトウェアのインストールおよびアンインストール、ユーザーアカウントの管理、ファイルやフォルダの完全なアクセスと管理など、広範な操作を行うことができる。
管理者権限の具体的な機能としては、以下の通りである。
1. システム設定の変更:ネットワーク設定、セキュリティ設定、ハードウェア設定など、システム全体の設定を変更することができる。
2. ソフトウェアのインストールおよびアンインストール:新しいソフトウェアのインストールや不要なソフトウェアのアンインストールを行うことができる。
3. ユーザーアカウントの管理:新しいユーザーアカウントの作成、既存アカウントの削除、パスワードのリセットなど、ユーザー管理を行うことができる。
4. ファイルやフォルダの完全なアクセスと管理:システム内のすべてのファイルやフォルダにアクセスし、編集、削除、移動などの操作を行うことができる。
管理者権限は、システムの運用や保守において非常に重要である。上記のように、管理者権限でログインしている間は、すべての操作が可能だからである。しかしながら、たとえば悪意のある攻撃者が管理者権限を手に入れると、ウイルスソフトを停止・削除することも可能となり、そのサーバやパソコンに保存されている、ID やパスワードのリストをすべて閲覧可能となる。さらには、ネットワーク上の他サーバやパソコンを攻撃するようなツールをインストールすることも可能となる。
医療機関においては電子カルテシステムの運用において、管理者権限でのサーバ運用、クライアント端末運用は可能なかぎり控えるべきである。電子カルテシステムは閉域網であるから、外部からは攻撃を受けることはないため、セキュリティ対策はあまり気にしなくてよいと考えるベンダーは依然として存在する。そのようなベンダーにおいては、電子カルテシステムの運用管理を容易にするために、管理者権限での日常的な運用を行っている可能性がある。一度、自施設での運用状況を確認してみることをお勧めする。
当センターにおいて、2024 年10 月のシステム更新後は、やむをえない場合を除いては、サーバ、クライアントともに、標準ユーザーでの運用を徹底している。前述の通り、基幹システムを中心として50以上の部門システムの計100台以上のサーバの大半と、クライアント端末2,000台超のいずれも標準ユーザーで稼働中であるが、通常運用にはまったく支障がない。「管理者権限がないと電子カルテはスムーズに動かない」ことはないし、もし本当に動かないようであれば、それはそのシステムそのものに問題あるといえるかもしれない。
文献
1) NIST.
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63b.pdf
2) 国家サイバー統括室.みんなで使おうサイバーセキュリティ・ポータルサイト.
https://security-portal.nisc.go.jp/
著者
書籍のご案内
患者と経営を守るIT-BCPと緊急対応ガイド
セキュリティ専門家と医療現場担当者が答える実践Q&A/実録に学ぶ“備え”の最前線 すぐ使えるツールのダウンロード付き
みんなで備える 医療のIT-BCP
実際にサイバー攻撃を受けた医療機関の事例をもとに、病院経営層、医療情報部門、医療スタッフなど、多職種による対応策を多角的に解説する。IT-BCP構築の基本から、院内教育、訓練方法まで、すぐに実践できる知識とノウハウを惜しみなく提供。現場担当者とセキュリティ専門家によるQ&Aや、すぐに使えるツール(ダウンロード可)も収録し、「何から始めるべきか」がわかる、医療現場のための実践書である。
発行:2025年11月
サイズ:B5判 208頁
価格:3,960円(税込)
ISBN:978-4-8404-8832-7
▼詳しくはこちらから
▶Amazonでの購入はこちら
▶楽天ブックスでの購入はこちら
