病院のSEとして10年以上働いている@whitefox21seです。
▼Twitterで最新記事やアクセスランキングをツイートしてます。こちらもよろしくお願いします!
Follow @whitefox21se
ここ最近で、病院がVPN経由でのランサムウェア攻撃を受けていることは周知のとおりです。厚労省も病院に対し、サイバーセキュリティ対策に関する調査を急遽行うなど、医療機関でのVPN対策が急務になってきました。「うちは大丈夫なのか?」と不安になっている方もいるでしょう。
いっぽうで、そんなことを急に言われても何から手を付ければいいのか分からない、という方もいるはず。そこで役に立つのが、さまざまなネットワーク機器の脆弱性情報を発出しているJPCERTやIPAのサイトです。そこでこの記事では、それらのサイトに掲載された脆弱性情報から、普段あまり触れることがないVPN機器のメーカーや種類について調べて、少しでも知識を身に着けたいと思います。
ぶっちゃけ今まで脆弱性情報なんて気にしてなかったけど、ちょっとは気にしてみようか、と思ってもらえたら嬉しいです。
それってお前のことだよな。
すいません。白状します・・・
医療情報技師の方ならご存知かと思いますが、サイバーセキュリティ対策が盛り込まれた改正医療法が発令され、令和5年4月から施行されることになりました。その内容は次のとおりとなっています。
医療法施行規則の一部を改正する省令
病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、 サイバーセキュリティ (サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。 ) を確保するために必要な措置を講じなければならない。
(定義)
第二条 この法律において「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式(以下この条において「電磁的方式」という。)により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。
具体的な対策は掲げられていませんが、サイバーセキュリティ確保が医療法上の義務となりましたので、今まで以上に脆弱性対策にアンテナを張る必要があると思っています。
JPCERTやIPAは、脆弱性の情報をWebサイトやSNSでスピーディーに知らせてくれます。速やかに情報をキャッチできるよう、ブックマークやフォローしておくことをおすすめします!
▼IPA公式サイト
https://www.ipa.go.jp/security/vuln/documents/index.html
▼IPA公式ツイッター
https://twitter.com/ICATalerts/
▼JPCERT公式サイト
▼JPCERTツイッター
読者の応援が励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m
システムエンジニアランキング
にほんブログ村
調査対象の脆弱性情報
今回取り上げるのは、JPCERTにて下記の通り脆弱性が指摘されている、Fortinet社のFortiGateです。
企業情報:Fortinet
Fortinetとは、アメリカに本社を置く大手UTM(Unified Threat Management:統合脅威管理)機器メーカー。UTMとはファイアウォールやウイルス対策などを1台で担うネットワーク機器のことで、VPN機能も併せ持ちます。日本法人として、東京の六本木にフォーティネットジャパン合同会社があります。
UTMはVPNを構築するときによく使われる機器。VPNを構築するにはどうしても通路として穴を開けないといけないので、侵入対策やウイルス対策をセットで考えなくてはなりません。それらを個別に導入するよりも1台でまかなうほうが管理上優れているため、VPNを前提としたネットワークを組むときに重宝する、というわけです。
▼代表的商品のFortiGate 60
製品情報:FortiGate
FortiGateは、Fortinet社が提供する主力UTMシリーズ。UTMでは世界一のシェアを誇り、病院だけでなく様々な企業でも使われています。
ランサムウェア攻撃を受けたつるぎ町立半田病院や大阪急性期・総合医療センターもこのFortiGateを採用していました。ニュースだけを見ればFortiGateが粗悪品のように聞こえるかもしれませんが、世界一のシェアを誇る製品なだけに標的にされやすかった、という背景があります。
FortiGateを制御するファームウェアがFortiOSです。半田病院の報告書によると、2018年に明らかになったFortiOSの脆弱性(識別番号:CVE-2018-13379)への対処ができていなかったために侵入を許してしまった可能性がある、としています。
▼FortiGateについて勉強したい方は、専門書がおすすめ。知識を深めたい方は、一冊持っていても損はないと思います。
でも、FortiGateなんてあんまり聞かない名前だし、アメリカの会社で不安だなぁ。
大塚商会が販売パートナーとして窓口になっていますよ。
大塚商会は古くからFortinetの販売を手掛けており、保守やリモート監視をセットにしたプランを提供しています。機器はアメリカの会社ですが日本の販売会社を通じて契約できるので、法人契約しやすいはずです。
なお大塚商会では、14日間FortiGateを試せる無料体験サービスを実施しています。FortiGateを使ったVPNがどのようなものか試してみたい方におすすめです。
https://www.otsuka-shokai.co.jp/products/security/internet/firewall-utm/fortigate.html
なるほどねー。これは分かりやすい。
万一事故にあったときも、脆弱性情報を関係者で共有しやすいですよね。
例えば大阪急性期・総合医療センターのランサムウェア被害では、病院本体のセキュリティ対策は万全だったのに、連結する給食システムのVPN機器から侵入を許してしまいました。ネットワークがつながる原理を理解し、ネットワーク構成全体を俯瞰したセキュリティ対策を取らなければならない、ということを分からせてくれた良きケーススタディでした。ちょっとしたスキマ時間にでも、基礎の振り返りをしてみてはいかがでしょうか。
脆弱性情報:CVE-2022-42475
では今回のソースで取り上げた脆弱性情報を見ていきます。2022年に報告された脆弱性情報です。
見るべきところは次の3ヶ所です。
I.概要
2022年12月12日(現地時間)、FortinetはFortiOS SSL-VPNにおけるヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関するアドバイザリ(FG-IR-22-398)を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したリクエストを送信し、任意のコードやコマンドを実行する可能性があります。
Fortinet
FortiOS - heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398
Fortinetは、本脆弱性を悪用する攻撃を確認しています。影響を受ける製品を利用している場合、Fortinetが提供する最新の情報をご確認の上、対策の適用に加え、脆弱性を悪用する攻撃の被害を受けていないか確認するための速やかな調査実施を推奨します。
VPNではあらかじめ認証されたユーザーのみが閉域ネットワークへ進入できるわけですが、認証されていないユーザーがこの脆弱性を悪用して何らかの攻撃を仕掛け、侵入を許す可能性がある、ということです。
おだやかな話じゃないな。
まずはこの概要を読んで、脆弱性の中身を調べたほうがよいですね。
しかも、すでにこの脆弱性を悪用した攻撃が確認されているとのことなので、もし該当するようなら早めに対処するのが望ましいですね。
II.対象
対象となる製品およびバージョンは次のとおりです。
- FortiOS バージョン 7.2.0から7.2.2まで
- FortiOS バージョン 7.0.0から7.0.8まで
- FortiOS バージョン 6.4.0から6.4.10まで
- FortiOS バージョン 6.2.0から6.2.11まで
- FortiOS バージョン 6.0.0から6.0.15まで
- FortiOS バージョン 5.6.0から5.6.14まで
- FortiOS バージョン 5.4.0から5.4.13まで
- FortiOS バージョン 5.2.0から5.2.15まで
- FortiOS バージョン 5.0.0から5.0.14まで
- FortiOS-6K7K バージョン 7.0.0から7.0.7まで
- FortiOS-6K7K バージョン 6.4.0から6.4.9まで
- FortiOS-6K7K バージョン 6.2.0から6.2.11まで
- FortiOS-6K7K バージョン 6.0.0から6.0.14まで
FortiOSのバージョンがこれに該当するようなら、なるべく早めに次の「III. 対策」を講じるべき、ということになります。
しかし、FortiOSのバージョンなんて分からない、という方もいるでしょう。病院情報システムの管理体制によりますが、セキュリティの観点からVPN機器の型番やバージョン情報はベンダーが明らかにしていない場合もあります。上記の脆弱性番号CVE-2022-42475を連絡してあげると、すぐに伝わるでしょう。
▼画像をクリックすると、日経パソコンのサイトへ飛びます。
日経パソコンのサイトへ行く
記事の中身は初~中級者向けで、ITによる業務改革や仕事効率化などにフォーカスした内容が毎号特集されています。最近では私もパソコン雑誌を買い漁ることはなくなりましたが、昔の常識に囚われないよう、日経パソコンを購読して「最近ではこんなこともできるのか」と脳内をアップデートしています。
1冊638円とリーズナブルな価格。定期購読すれば家に届くので、買いに行く手間もなく楽チンですよ。
III.対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。修正済みバージョンの適用をご検討ください。
- FortiOS バージョン 7.2.3あるいはそれ以降
- FortiOS バージョン 7.0.9あるいはそれ以降
- FortiOS バージョン 6.4.11あるいはそれ以降
- FortiOS バージョン 6.2.12あるいはそれ以降
- FortiOS バージョン 6.0.16あるいはそれ以降
- FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
- FortiOS-6K7K バージョン 6.4.10あるいはそれ以降
- FortiOS-6K7K バージョン 6.2.12あるいはそれ以降
- FortiOS-6K7K バージョン 6.0.15あるいはそれ以降
FortiOSのバージョンアップによってこの脆弱性は解決できる、ということです。対策方法はごくシンプルですね。
しかしバージョンアップのタイミングに注意しなくてはなりません。UTMの場合、病院情報システム全体を停止しなければならないケースもありますので、システムベンダーと相談しながらスケジュールを決めましょう。
余談ですが、ネットワーク機器は予備を用意しておくのが望ましいです。万が一故障した場合、予備と交換することでダウンタイムを最小限に抑えることが出来るからです。ただのLANハブとは違い、UTMの場合は設定作業が必要なため事前の準備が必要ですが、基幹機器が故障するとネットワーク全体が止まるおそれがあり、影響範囲が大きくなります。ぜひ一度、予備の在庫があるかチェックすることをおすすめします。
▼Amazonや楽天市場でも買うことができます。
以上、Fortinet社のFortiGateについて調べてみました。
VPN機器メーカーや製品情報を知っておくと、システム入れ替え時に選択の幅が広がりますし、ランサムウェア被害を受けた病院の報告書を読んだり、ベンダーと会話したりするときにも役立ちます。ベンダーへ任せきりにしているところもあると思いますが、脆弱性情報は常に拾うようにし、サイバーセキュリティ対策について理解を深めていきたいな、と思うところです。
忙しい社会人が効率よく勉強するのにおすすめなのが、スマホで学べるオンライン講座STUDYING(スタディング)。動画で学べる基本講座やWebテキスト、問題集がギッシリ詰まった教材ラインナップ。学習と問題演習を繰り返し解いて知識を定着させていきます。この手の試験は、過去問をひたすら解いて解法パターンを身に着けるのが王道ですので、いかに問題をこなすかがカギ。分厚い過去問題集を持ち歩かなくても、いつでもどこでもスキマ時間を使って学習できるのは、忙しい社会人にピッタリですよね。
基本情報技術者講座 - スマホで学べる通信講座で資格を取得 【スタディング】の公式サイトへ行く
▼画像をクリックするとスタディングの公式サイトへ飛びます
無料の体験講座が用意されているので、まずはどんなものか試してみてはいかがでしょうか。無料体験に申し込むと、もれなく本講座が10%オフになるクーポンが貰えるのでオトクです。ぜひこの機会に基本情報技術者を勉強し、スキルの証明となる資格を身に着けましょう!
▼こちらの記事では、基本情報技術者試験の「午前試験免除」が受けられるオンライン講座を紹介しています! 併せてチェックしてみてくださいね。
ちなみに私は応用情報技術者を持ってます!
別に聞いてねーよ。
最後に
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。
面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!
人気記事もぜひ読んでいってくださいね。
▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」または「にほんブログ村」のボタンを押してください!