今回のコラムでお伝えする内容は、弊社でUTMを設置させていただいた栃木県内の病院で実際に起きた出来事です。

特定を避ける為、詳細の情報は伏せて事件の経緯を解説していきます。

 

お伝えしたいことの要約は、

1. 今まで体験したことが無いような恐ろしい状況に巻き込まれることがある
2. ＵＴＭがあって本当に助かった
3. ＵＴＭは設置した後が本番

という話です。

 

【動画】1分30秒で分かる事件の全貌

 

 

恐ろしい事件（予約システムが停止してしまった！）

8/19　お客様（病院の院長様）からお電話がありました。

内容は、

「インターネットが重すぎてオンラインの予約システムが上手く動かない。システム業者やネットワーク業者に相談しても原因がわからず困っている、助けて欲しい」というもの。

弊社はお客様へＵＴＭだけを導入させていただいております。

ネットワーク機器全てを管理しているわけではありません。

 

具体的には、

予約システムはA社、

社内ネットワークはB社、

監視カメラはC社、

UTMは弊社で導入…といった具合です。

 

この段階では弊社以外の業者に問い合わせてみても、「原因が分からない」とのことでした。

弊社でも原因の予想がつかなかったので、「確認できる範囲までになってしまいますが原因を調べてみます」とお伝え。

ＵＴＭのログ（防御記録）を確認してみました。

 

すると、UTMのログを一目見るだけでお客様のネットワーク環境が異常な状況にあることが発覚！

お客様の事務所からインターネットへのアップロード容量が、通常の5000倍～数万倍以上に増えており、簡単に言うならば回線がパンクしていたのです！

容量の大きさから言って、防犯監視カメラなど動画関係の機器がおかしな動きをしているのではないか、というアタリを付けお客様へ確認。

すると、「お盆前に増やしました！」とのことでしたので、状況確認の為に病院へ訪問しました。

現地では増設した防犯監視カメラを見させていただきました。

高所に設置されており、近くで観察することが出来ない為、詳しく調べることができませんでした。

お客様（院長）に確認すると、防犯監視カメラを導入した業者C社から「カメラのパッケージや注文書、マニュアルなど特にもらっていない」とのこと。

防犯監視カメラのメーカーや機種が分かりませんでした。

そこで、防犯カメラを増設した業者C社に直接電話をかけ、該当カメラの情報を確認することにしました。

C社によると「設置したのは7月末なので、お盆明けからおかしくなっているのであれば、原因は防犯カメラじゃないと思いますよ」とのこと。

原因解明には至りませんでした。

仕方が無いので、「その増設したカメラと、そのカメラを管理しているレコーダーのIPだけで良いので教えて下さい」とお願いし、いただいたIPとUTMのログを照合。

結果レコーダーが大量のデータのアップロードをしていることが判明！

その時点では、何がどうなってレコーダーが大量のデータを外部に送信してしまっているのかわかりませんでした。

弊社としては、予約システムやインターネットを復旧させることが最優先と考え、業者C社に事情を説明し、レコーダーの電源を切ってしまって問題ないか確認。

お客様にも了承をいただいたうえで、レコーダーの電源を落としました。

結果、ネットワークの異常な重さは改善され、予約システムも問題なく利用することが出来るようになりました！

原因については後日明らかにしていく方向で一旦は一件落着となりました。

 

 

恐ろしい事件その後（原因はコンピューターウイルス!?）

私がゾッとしたのはこの後です。

会社に戻った私は、レコーダーを止めた後のログがどうなっているのか確認してみました。

すると……

↑

私がレコーダーの電源を切った直後(13:12)にUTMが1,733件のブルートフォースアタック（総当たり攻撃）を防いでいるログを見つけました！

 

 

 

※ブルートフォースアタック（総当たり攻撃）とは

暗号解読方法のひとつで、可能な組合せを全て試す方法。

要するに、よく使われているパスワードを強引に全てのパターンで試すことでハッキングする攻撃のこと。

多くの場合、プログラムされたコンピューターが行うため4桁であれば数分で解読されてしまいます。

 

 

なぜレコーダーの電源を落とした瞬間にブルートフォースアタックが？

考えられる原因は…「あのレコーダー、ひょっとして何者かに乗っ取られていたのでは？」

 

その可能性が頭をよぎったので、カメラを設置した7月末から8月19日までのあらゆるUTMのログをよくチェックしました。

 

すると……

防犯監視カメラのレコーダーから大量のデータを外部に送信して回線がパンクしていた

8/12の13時直前、IoT機器を乗っ取るマルウェア「Mirai」が、レコーダー内部から外部（社外）へ拡散されそうになっていたところをUTMが防御しているログを発見。

 

しかし、おかしなことに、その前のUTMログを確認しても、外部のネットワークからレコーダー内部へ「Mirai」が侵入することを止めたログがありません。

つまり、「Mirai」は外部から入って来た痕跡が無いにもかかわらず、内部に侵入していたということ。

 

一体、マルウェア「Mirai」はどこから感染したのでしょうか⁉

 

これ以上はUTMのログから推測することしか出来ませんが、１つ気になっているのは

「防犯監視カメラが中国製」だったということ。

（防犯監視カメラを販売した業者C社にはメーカーや型式を最後まで教えて貰えませんでしたが…）

 

中国製のカメラは、製造された段階で「バックドア」が仕掛けられている可能性がある、という噂を聞いたことがあります。

もしかすると、この防犯監視カメラにもバックドアが仕掛けてあったのではないだろうか……という可能性もあり得る状況。

 

※バックドアとは

利用者が入る正規の入り口とは別に、秘密裏に作られる「勝手口」のこと。

IDやパスワードがなくても、ログインができてしまいます。 

バックドアから、機密データや個人情報を持ち出すことも容易に行えてしまうだけでなく、遠隔操作によってDDoS攻撃（サイバー攻撃の一種）の加害者になってしまう危険性もあります。

 

※DDoS攻撃とは

Webサイトやサーバーに対して、過剰アクセスや過剰データ送信をする攻撃を複数のコンピューターから行うサイバー攻撃のこと。

 

ーーーーーーーーーーーーーーーーーーーーーーーー

▼サイバー攻撃・マルウェアとは？

サイバー攻撃の巧妙な手口…マルウェアとは？種類・特徴と対策

ーーーーーーーーーーーーーーーーーーーーーーーー

 

仮にバックドアが仕掛けられていた場合、そもそも監視カメラの販売店も、設置する業者もバックドアに気づくことはできないので、対処しようがありません。

今回のケースは最終的に、お客様（院長）が「そのレコーダーとカメラは怖くて使えない」ということで国産の防犯監視カメラに交換することになりました。

 

以上が、最近体験した栃木県内の病院で起きたセキュリティと防犯カメラに関する恐ろしい事件の全貌です。

 

 

UTMを設置したから安心ではない？

最後に、今回のゾッとするような恐ろしい事件から得た教訓トップ5をお伝えします！

 

1．UTMのログ（動作・防御記録）を元にレコーダーが問題だと気づかなければ、防犯監視カメラの販売業者・設置業者は動いてくれなかった。

【教訓1】

UTMを「設置したから安心」ではなく、設置してからが本番！

ネットワークに不具合が発生した時、UTMの動作・防御記録（ログ）を取り、問題を発見し、原因究明まで行うことができる業者にUTM設置を相談することをおすすめします！

 

 

2．カメラの販売業者・設置業者が動いてくれなかった場合、問題解決が数日遅れていた可能性がある。すると病院の予約システム業務に多大な支障が出ていた。

【教訓2】

病院の患者様へ迷惑がかかるだけでなく、ネットワーク全体へ影響が拡大することにより電子カルテ等の命に関わるシステム障害へ問題が波及してしまう可能性もあります！

 

▼参考：医療機関の皆様へ（栃木県からのお知らせ）

医療機関を標的としたランサムウェアによるサイバー攻撃について（注意喚起）（PDF）

 

▼参考：医療機関の皆様へ（栃木県からのお知らせ）

「医療情報システムの安全管理に関するガイドライン」に関する「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」について（ZIP：728KB）

 

 

3．UTMが無ければ、レコーダー（もしくは防犯監視カメラ）がMiraiに感染していることを確認することができず、問題の機器を使い続けている可能性が高かった。（防犯監視カメラを交換する理由のエビデンスが用意出来ない為）

【教訓3】

コンピューターウイルス感染している機器を使用し続ける事により、踏み台攻撃に利用されてしまい外部へのサイバー攻撃被害が拡大してしまいます！

 

 

4．安いからと言って中国製など海外製品の防犯カメラを安易に設置するのは危ない（業者が大丈夫だと言ったとしても、大丈夫かどうかは販売店にも設置業者にもわからない）

【教訓4】

安さを売りにしている製品は、注意深く検討してください！

特に海外製品は、製造段階で問題を抱えていても解明が難しいです。原因解明が出来なければ、保証もされず不当だと思っても泣き寝入りするしかなくなってしまいます！

 

ーーーーーーーーーーーーーーーーーーーーーーーー

▼防犯・監視カメラ選びのポイントを知りたい方へ

【なぜ、防犯カメラの設置で失敗する人とそうでない人がいるのか？】

 

▼セキュリティ対策製品を選ぶ基準が分からない…という方へ

【企業のセキュリティ対策で失敗しないセキュリティソフト&UTM選びのコツ4選】

ーーーーーーーーーーーーーーーーーーーーーーーー

 

5．今後、防犯監視カメラやレコーダー、複合プリンターなどウイルス対策ソフトで守ることができないネットワーク機器（Iot機器）が増えることにより、UTMの価値が高まってきている。

【教訓5】

UTMのログ（動作・防御記録）が取れること、ログを見て適切に対処ができる専門家がセキュリティ全般を管理してくれることが重要！

 

 

弊社のサイバーセキュリティ・UTM事業では、

今後もお客様をサイバー攻撃からしっかりお守りできるよう精進してまいります。

 

「うちの防犯監視カメラは大丈夫だろうか…」

「UTMを設置してから一度も点検をしてないけど大丈夫だろうか…」

というご不安がありましたら、お気軽にご相談ください。

 

 

▼【動画】1分30秒で分かる事件の全貌

 

 

ーーーーーーーーーーーーーーーーーーーーーーーー

▼Iot（モノのインターネット）普及に伴い急増するサイバー攻撃への対策

サイバー攻撃の巧妙な手口…マルウェアとは？種類・特徴と対策

失敗したくない企業経営者向けセキュリティ対策Q&A

【動画で解説！】フィッシング詐欺で約1億円の被害…メールアドレス漏洩チェックのススメ

ーーーーーーーーーーーーーーーーーーーーーーーー