Oracle社・VMware社のソフトウェアに脆弱性あり悪用事例も、最新バージョンに更新しデータ改善・漏洩など防止を—NISC
2023.2.9.(木)
Oracle社およびVMware社のソフトウェアに脆弱性が発見され、放置すればデータの改ざん・削除・漏洩などの恐れがある。ソフトウェアを最新のバージョンに更新する必要がある—。
内閣官房内閣サイバーセキュリティセンター(NISC、National center of Incident readiness and Strategy for Cybersecurity)の重要インフラグループは2月3日に「オラクル製ソフトウェアの深刻な脆弱性(CVE-2022-21587)について (注意喚起)」を、6日に「VMware ESXiの深刻な脆弱性(CVE-2021-21974)について(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。
我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発
医療機関がサイバー攻撃を受け、甚大な被害が発生する事例が散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。
このため、厚生労働省の「健康・医療・介護情報利活用検討会」や、下部組織である「医療等情報利活用ワーキンググループ」において、「医療情報システムの安全管理に関するガイドライン」の再改訂論議が進められています。例えば、システム管理者のみならず、医療機関の管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—ことなどを求め、すべての医療機関でセキュリティ対策を強化することを目指す内容となります(関連記事はこちら)。
他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター(NISC)に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています(NISCのサイトはこちら)。
今般、NISCは次のソフトウェアに脆弱性が発見されたことを通知しています。
▽Oracle E-Business Suite(Oracle EBS)のOracle Web Applications Desktop Integrator(バージョン12.2.3-12.2.11)
→リモートから認証無しで任意のコードを実行(プログラムの実行、異常終了、当該コンピュータに保存されているデータの改竄・削除・漏洩等)される恐れのある脆弱性が含まれる
→本脆弱性についての悪用が確認されるなど、容易に悪用可能な脆弱性であり、パッチ未適用の場合は速やかにパッチを適用することが強く推奨される
→対象ソフトウェアを最新のバージョンに更新してほしい
→Oracle社のサイトはこちら
▽▼ESXi7.0系ESXi70U1c-17325551より前のバージョン▼ESXi6.7系ESXi670-202102401-SGより前のバージョン▼ESXi 6.0系ESXi650-202102101-SGより前のバージョン—
→リモートから認証無しで任意のコードを実行(プログラムの実行、異常終了、当該コンピュータに保存されているデータの改竄・削除・漏洩等)される恐れがある脆弱性が含まれる
→本脆弱性が悪用され、ランサムウェアに感染する被害が多数確認されており、セキュリティ更新プログラムを未適用の場合は速やかに適用することが強く推奨される
→対象ソフトウェアを最新のバージョンに更新してほしい
脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応(対象ソフトウェアの最新バージョンへの更新など)が求められます。
【関連記事】
マイクロソフト社のソフトウェアに脆弱性、最新バージョンに更新しなければデータ改善・漏洩などの恐れも—NISC
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)