奈良県宇陀市は、2018年10月に市立病院で発生したランサムウェア「GandCrab」の感染に伴う電子カルテシステムの障害に関するインシデント対応や調査結果などの報告書を公開した。同市は、再発防止策など対応の完了にめどが立ったとして、2月28日に安全が確認されたと発表している。
このセキュリティインシデントは、2018年10月16日に発生した。電子カルテシステムが使用できなくなり、ランサムウェアの感染が発覚。翌17日にかけて被害確認や不正プログラムの除去、復旧作業などを行い、18日に電子カルテシステムを再稼働させた。ただ、ランサムウェアによって電子カルテのデータが暗号化され使用不能になり、約半年を費やして2019年3月25日に全データの復元に成功した。また、初期対応時にログデータなどを保持していなかったことで調査に支障が出たことも明らかにした。
同市は、2019年1月に市長を本部長とする「市立病院コンピューターウイルス感染事案対策本部」を設置し、同時に「対策協議会」と「検証ワーキングチーム」「市立病院コンピューターウイルス感染事案有識者会議」も立ち上げて、この事案への対応を進めてきた。有識者会議では、同年3月から9月まで5回にわたる議論を通じて再発防止策などの提言を取りまとめた。
奈良県宇陀市におけるインシデント対応体制のスキーム(出典:宇陀市報告書)
※クリックすると拡大画像が見られます
報告書は全31ページ(PDF)で構成され、インシデント対応時の詳しい状況や関係者同士のやりとり、調査内容と結果、インシデント対応体制の構築や運用の様子、再発防止策などの手法やセキュリティ対策の運用管理体制などが取りまとめられてる。
調査で判明した事実の概要
- 電子カルテシステムに感染したのはランサムウェア「GandCrab」
- 感染範囲は電子カルテを含む診療部門のサーバー4台、同門端末の2台、ウイルス対策のサーバー1台、看護部門のサーバー1台
- ランサムウェアによって一部の患者カルテの情報が参照不能に(2019年3月25日に全データを復元して回復)
- データの暗号化で診療報酬請求に影響し、福祉医療費助成制度に基づく償還が遅延(対象者に謝罪と説明を実施)
- システム復旧を優先して証拠保全を行わないまま医療情報システムを再セットアップしたことにより、感染経路の特定などはできなかった
- 現在は院内ネットワークでの不正プログラムの残存が確認されていない
