Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
GemMed塾 病院ダッシュボードχ zero

Palo Alto Networks社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC

2024.11.22.(金)

Palo Alto Networks社のソフトウェアに新たな脆弱性が発見され、脆弱性を悪用した攻撃が確認されている。放置すればデータの改ざん・削除・漏洩などの恐れがあり、診療に多大な支障が出る可能性もある。ただちにソフトウェアを最新のバージョンに更新してほしい—。

【対象ソフトウェア】
▽PAN-OS 11.2 11.2.4-h1 未満
▽PAN-OS 11.1 11.1.5-h1 未満
▽PAN-OS 11.0 11.0.6-h1 未満
▽PAN-OS 10.2 10.2.12-h2 未満
▽PAN-OS 10.1 10.1.14-h6 未満(※CVE-2024-9474にのみ影響)

内閣官房内閣サイバーセキュリティセンター(NISC、National center of Incident readiness and Strategy for Cybersecurity)の重要インフラグループは11月19日に「Palo Alto Networks製品の深刻な脆弱性(CVE-2024-0012およびCVE-2024-9474)について(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。

我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発

企業や医療機関などがサイバー攻撃を受け、甚大な被害が発生する事例が我が国でも散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、2022年秋には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。

この点、医療機関については「一般にサイバーセキュリティ対策が甘い」「鍵のかかっていない金庫のようなものである」との厳しい指摘があります。

そこで、「医療情報システムの安全管理に関するガイドライン」の再改訂(第6.0版)が行われ、例えば、システム管理者のみならず、医療機関の管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—ことなどを求めています。すべての医療機関でセキュリティ対策を強化することを目指す内容となります。あわせて「立入検査でのサイバーセキュリティ対策チェック」、「医療機関・システムベンダ向けのサイバーセキュリティ対策チェックリスト公表」、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等の公表」などの取り組みも進められています(関連記事はこちらこちら)。さらに8月1日には「すぐさま、▼強固なパスワード設定▼通信制御確認▼ファームウェアの適切な更新—などの対策を行う関係事業者と協力して行う必要がある」旨の事務連絡を示し、注意を呼び掛けています。



他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター(NISC)に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています(NISCのサイトはこちら)。

今般、NISCは下記のPalo Alto Networks社のソフトウェアに脆弱性が発見されたことを通知。対象ソフトウェアを使用している機器等において、管理Webインターフェースを経由し「認証されていないリモートの攻撃者による任意のコード実行」などの恐れがあります。
【対象ソフトウェア】
▽PAN-OS 11.2 11.2.4-h1 未満
▽PAN-OS 11.1 11.1.5-h1 未満
▽PAN-OS 11.0 11.0.6-h1 未満
▽PAN-OS 10.2 10.2.12-h2 未満
▽PAN-OS 10.1 10.1.14-h6 未満(※CVE-2024-9474にのみ影響)



あわせてNISCでは「脆弱性を悪用した攻撃が確認されている」ことを明らかにし、▼対象ソフトウェアの最新のバージョンへの更新▼更新をただちに実施できない場合は、以下の緩和策や監視の強化等を検討する—よう強く要請しています(参考サイトは▼こちら(CVE-2024-0012 PAN-OS:Authentication Bypass in the Management Web Interface(PAN-SA-2024-0015)(Palo Alto Networks社))と▼こちら(CVE-2024-9474 PAN-OS: Privilege Escalation(PE) Vulnerability in the Web Management Interface(Palo Alto Networks社))と▼こちら(Palo Alto Networks製PAN-OSの脆弱性対策について(CVE-2024-0012等)(IPA))と▼こちら(Palo Alto Networks製PAN-OSの管理インタフェースにおける複数の脆弱性(CVE-2024-0012、CVE-2024-9474)に関する注意喚起(JPCERT/CC)))。

【緩和策】
▽管理Webインターフェイスに対するアクセスを制限することにより本脆弱性の影響は軽減される
▽ただし、ソフトウェアの健全性維持の観点からも「最新バージョンへの更新」を強く推奨する
▽ソフトウェアサポートが終了している機器を使用している場合は「直ちに最新バージョンへの更新」をしてほしい



脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応(対象ソフトウェアの最新版へのアップデート等)が求められます。



病院ダッシュボードχ zeroMW_GHC_logo

【関連記事】

マイクロソフト社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC
マイクロソフト社のソフトウェアに脆弱性を確認、すぐさま最新バージョンへの更新などの対策を—NISC
Palo Alto Networks社のソフトウェアに脆弱性があり、これを悪用した攻撃も増加、すぐさま最新バージョンへのアップデートを—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさまセキュリティ更新プログラム等の適用を—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさま最新バージョンへの更新などの対策を—NISC
Fortinet社のソフトウェアに脆弱性あり、最新バージョンに更新しデータ改善・漏洩など防止を—NISC
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省