サイバー被害､侮ってはいけない｢公表資料｣の価値 正確な現状把握を阻むセキュリティ対策の課題

だが調査報告書を読むと、発注者（医療機関）とベンダーといった当事者間の責任範囲の不明瞭さや双方の人材・知識不足、さらに技術的に問題のある運用が行われていたことなどが中核的要因であったと整理されており、同様の事故がどこの組織でも起こりえるものであったことがわかる。

さらに委託先を介して、院内ネットワークへの侵入を許したサプライチェーン攻撃であったことも判明しているが、驚くべきことにこの委託先はネットワーク機器の脆弱性を修正しないままシステムの運用を行っていた。

脆弱性については2019年に公表、修正版が出ており、複数のセキュリティ機関が、この脆弱性を悪用した活動が活発化しているとして、たびたび注意喚起し、被害公表事例も国内で相次いでいたのにだ。

病院側はそのような実態を把握できていなかったのはもとより、システムを運用する側は少なくとも対応しておくべきものであったにもかかわらず、未然に防ぐことがかなわなかったのは残念でならない。

海外で起きた2段階のサプライチェーン攻撃

現状把握を見落としなく行うためには、情報収集を国内だけとするのではなく、海外事例にも積極的に目を向ける必要がある。

日本国内で利用している組織は少なかったためか大きな話題になることはなかったが、2023年3月にキプロスの3CX社が開発する音声通話ソフトが改ざんされ、不正なコードが注入されるサイバー攻撃が発生した。

3CX社は、このソフトウェアが世界190カ国、60万の組織で利用されていると紹介しており、大規模な範囲に攻撃の影響が及んでいたのではないかとセキュリティ業界の関係者らには当時衝撃が走った。

さらに、このサイバー攻撃は2段階のサプライチェーン攻撃が行われていたことで知られている。3CX社の従業員がPCにインストールしていた他社のソフトウェアが、すでに改ざんされていたものだったのだ。

そこを端緒に3CX社のソフトウェア開発環境が侵害されてしまい、悪性のファイルが含まれたソフトウェアを公開してしまった。