Gemmed ジェムメド データが拓く新時代医療

運営会社 GLOBAL HEALTH CONSULTING
Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages
GemMed塾 ミニウェビナー 院内掲示(手術件数集計)は手作業でやるのはもう古い?~集計業務は、無料ツールで1クリックで手間ゼロへ~
GemMed | データが拓く新時代医療 > 医療提供体制改革 > マイクロソフト製、Fortinet社製のソフトウェアに深刻な脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新等を—NISC

マイクロソフト製、Fortinet社製のソフトウェアに深刻な脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新等を—NISC

2025.1.17.(金)

「Microsoft Windows、Microsoft Office等の複数のマイクロソフト製ソフトウェア」および「Fortinet社のFortiOSやFortiProxy」に深刻な脆弱性があり、攻撃も確認されている。放置すればデータの改ざん・削除・漏洩などの恐れがあり、診療に多大な支障が出る可能性もある(攻撃も確認されている)。ただちにソフトウェアを最新のバージョンに更新するなどの対応をとってほしい—。

内閣官房内閣サイバーセキュリティセンター(NISC、National center of Incident readiness and Strategy for Cybersecurity)の重要インフラグループは1月15日に「マイクロソフト製ソフトウェアの深刻な脆弱性について(注意喚起)」および「Fortinet製品の深刻な脆弱性(CVE-2024-55591)について(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。

我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発

企業や医療機関などがサイバー攻撃を受け、甚大な被害が発生する事例が我が国でも散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、2022年秋には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。

この点、医療機関については「一般にサイバーセキュリティ対策が甘い」「鍵のかかっていない金庫のようなものである」との厳しい指摘があります。

そこで、「医療情報システムの安全管理に関するガイドライン」の再改訂(第6.0版)が行われ、例えば、システム管理者のみならず、医療機関の管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—ことなどを求めています。すべての医療機関でセキュリティ対策を強化することを目指す内容となります。あわせて「立入検査でのサイバーセキュリティ対策チェック」、「医療機関・システムベンダ向けのサイバーセキュリティ対策チェックリスト公表」、「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等の公表」などの取り組みも進められています(関連記事はこちらこちら)。さらに8月1日には「すぐさま、▼強固なパスワード設定▼通信制御確認▼ファームウェアの適切な更新—などの対策を行う関係事業者と協力して行う必要がある」旨の事務連絡を示し、注意を呼び掛けています。



他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター(NISC)に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています(NISCのサイトはこちら)。

今般、NISCは下記の▼マイクロソフト製ソフトウェア▼Fortinet製のソフトウェア—に深刻な脆弱性が発見されたことを通知しました。

●マイクロソフト関連
【対象ソフトウェア】
▽Microsoft Windows、Microsoft Office等の複数のマイクロソフト製ソフトウェア(対象ソフトウェアの一覧は下記URL参照)

【脆弱性悪用による影響等】
→任意のコードを実行(プログラムの実行、異常終了、当該コンピュータに保存されているデータの改ざん・削除・漏洩等)される恐れがある脆弱性が含まれる

【対応】
▽対象ソフトウェアを最新のバージョンに更新する

【参考URL】
2025年1月のセキュリティ更新プログラム(月例)(マイクロソフト)
2025年1月のセキュリティ更新プログラム(マイクロソフト)
Microsoft 製品の脆弱性対策について(2025年1月)(IPA)
2025年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起(JPCERT/CC)



●Fortinet関連
【対象ソフトウェア】
▽FortiOS 7.0.0から7.0.16
▽FortiProxy 7.2.0から7.2.12、7.0.0から7.0.19

【脆弱性悪用による影響等】
→対象ソフトウェアを使用している機器等において、認証されていないリモートの攻撃者による管理者(super-admin)権限取得の恐れあり

【対応】
▽対象ソフトウェアの最新のバージョンへの更新が強く推奨される
▽更新を直ちに実施できない場合は、こちら(Authentication bypass in Node.js websocket module(Fortinet)社)に示される回避策により本脆弱性の影響軽減、監視の強化等を検討する
→ただし、ソフトウェアの健全性維持の観点からも最新バージョンへの更新が強く推奨される
▽ソフトウェアサポートが終了している機器を使用している場合は、直ちに最新バージョンへの更新を行う

【参考URL】
こちら(Fortinet製FortiOSの脆弱性対策について(CVE-2024-55591)、(JPCERT/CC)



脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応(対象ソフトウェアの最新版へのアップデート等)が求められます。



病院ダッシュボードχ zeroMW_GHC_logo

【関連記事】

Ivanti社ソフトウェアに深刻な脆弱性を確認、攻撃事例も確認されており、すぐさま最新バージョンへの更新等の対策を—NISC
Palo Alto Networks社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC
マイクロソフト社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC
マイクロソフト社のソフトウェアに脆弱性を確認、すぐさま最新バージョンへの更新などの対策を—NISC
Palo Alto Networks社のソフトウェアに脆弱性があり、これを悪用した攻撃も増加、すぐさま最新バージョンへのアップデートを—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさまセキュリティ更新プログラム等の適用を—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさま最新バージョンへの更新などの対策を—NISC
Fortinet社のソフトウェアに脆弱性あり、最新バージョンに更新しデータ改善・漏洩など防止を—NISC
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省