Fortinet社のソフトウェアに脆弱性あり、最新バージョンに更新しデータ改善・漏洩など防止を—NISC
2023.6.16.(金)
Fortinet社のソフトウェアに脆弱性が発見され、放置すればデータの改ざん・削除・漏洩などの恐れがある。ソフトウェアを最新のバージョンに更新する必要がある—。
内閣官房内閣サイバーセキュリティセンター(NISC、National center of Incident readiness and Strategy for Cybersecurity)の重要インフラグループは6月13日に「Fortinet 製品の深刻な脆弱性について(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。
我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発
医療機関がサイバー攻撃を受け、甚大な被害が発生する事例が散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。
このため、厚生労働省は、▼「医療情報システムの安全管理に関するガイドライン」の再改訂(第6.0版)を行い、医療機関の管理者(院長)にも「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう(関連記事はこちら)▼立入検査の中に「サイバーセキュリティ対策は整えられているか」という項目を追加し、都道府県や国が「医療機関の対策を検査し、必要に応じて改善に向けた助言などを行う」仕組みを整える(関連記事はこちら)▼医療機関におけるサイバーセキュリティ対策チェックリストを公表し、医療機関・システムベンダが協力してサイバーセキュリティ対策を強固なものとしてもらう(関連記事はこちら)▼長期間の診療停止が生じないための「短期的な対策」(平時からの予防対策、インシデント発生後の初動対応、日常診療を取り戻すための復旧対応)を稼働させる(関連記事はこちら)—などの取り組みを行っています。
他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター(NISC)に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています(NISCのサイトはこちら)。
今般、NISCはFortinet社のソフトウェアに脆弱性(深刻度 Critical(5段階中、最高))が発見されたことを通知しています。少なくとも以下のバージョンが影響を受けますが、「サポート対象外の過去のバージョン含めて影響を受ける」可能性もあります。
▽FortiOS
▼6.0.0から6.0.16
▼6.4.0から6.4.12
▼7.0.0から7.0.11
▼7.2.0から7.2.4
▽FortiOS-6K7K
▼6.0.10
▼6.0.12から6.0.16
▼6.2.4
▼6.2.6から6.2.7
▼6.2.9から6.2.13
▼6.4.2
▼6.4.6
▼6.4.8
▼6.4.10
▼6.4.12
▼7.0.5
▼7.0.10
▽FortiProxy
▼1.1系
▼1.2系
▼2.0.0から2.0.12
▼7.0.0から7.0.9
▼7.2.0から7.2.3
対象ソフトウェアを使用しているネットワーク機器に対して攻撃者による任意のコード実行等の恐れがあり、「ソフトウェアを最新のバージョンに更新する」ことが求められるとともに、上述のようにサポート対象外製品でも影響を受ける可能性があり、「全ての対象ソフ トウェアにおいて最新バージョンへの更新」が強く推奨されています。
また、SSL-VPN機能を無効にしている場合には本脆弱性の影響は軽減されるようですが、ソフトウェアの健全性維持の観点からも「最新バージョンへの更新」が強く推奨されます。
なお、「ソフトウェアサポートが終了している機器を使用している場合には、直ちに最新バージョンへの更新をする」ことが求められます。
脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応(対象ソフトウェアの最新バージョンへの更新など)が求められます。
【関連記事】
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省