また病院がVPN経由でやられたわけだがVPNは悪だね｜ロードバランスすだちくん（仮）

シンジです。2026年2月9日の午前1時50分、日本医科大学武蔵小杉病院のナースコールシステムがランサムウェア攻撃を受けました。侵入経路は医療機器保守用VPN装置です。またVPNです。またです。人類は過去の経験から学ばない生き物でしたね。 約1万人分の患者の個人情報（氏名、性別、住所、電話番号、生年月日、患者ID）が院外に持ち出されたことが確認されています。厚労省の初動対応チームが派遣される事態となりました。ナースコールですよ。入院患者さんが緊急時にナースを呼ぶためのあのボタンの裏側にあるシステムが、ランサムウェアにやられたわけです。 「医療機器保守用VPN装置」という闇今回の侵入経路が「医療機器保守用VPN装置」だったということは、つまり医療機器ベンダーが遠隔で保守するために設置されたVPN装置が入口になったということです。 これ、医療業界に限った話じゃないんですよね。製造業でも、ビル管

[flirt774]

セキュリティ対策に対して予算計上しない（認めない）経営層に対して、「アサヒやアスクル見ましたか？あれだけの損害を上限で費用見積もりするべきです」と伝えると良いという話をこの間聞いた

[hateniku]

×VPNだから無理　◎一度自分たちがやらかすまで保守費用を払う気がないので、VPNだろうがZTNAだろうがいずれにせよ無理　問題点が技術レイヤーにない

[tontonNeko2010]

セキュリティ対策を蔑ろにして負担扱いする経営陣を何とかする方法を教えてください。ベンダーや技術を変えたところで根治しない

[TakamoriTarou]

仰るとおりで。そもそも今回はゼロデイどころか推測可能なパスワード使ってた案件らしいし、ベンダーはもはや重過失だなあ。

[yabu_kyu]

「その「ベンダーがちゃんと運用する」という前提が、現実世界で一度でも安定して成立したことがありますか？」「SSL VPNには業界標準が存在せず、各ベンダーが独自実装を行うため、構造的に脆弱性が生まれやすい」

[atsushieno]

「ソフトウェアは悪だね。ソフトウェアを完全に開発・運用できた人間がいましたか? ソフトウェアを擁護する人間は滅びろ。」

[tpircs]

VPNで完全に運用するよりゼロトラストのほうが簡単って言ってるんだと思うけど、ゼロトラストの設計や運用もきちんとやるのは難易度高いんじゃないのかな

[a2c-ceres]

VPNにしろZTNAにしろ、メンテナンス目的にしちゃリッチ過ぎるんじゃね、とは思うんだけどね。規模によるが昔ながらの交換回線+独立したコールバック+TTYの方が今のVPNに対して安全に見える。まあ人的含めてコスト高だけど

[tourism55]

せめて「もしもし保守ベンダーですけどこれから繋ぐのでケーブル刺しといてください。抜いてほしいときまたお電話します」をやれ！が短期の対策と思うが、そこで現れる日本の医療業界はダントツにユーザー非協力問題

[mellhine]

↓病院で使う機器のベンダっていっぱいあって、各ベンダがそれぞれVPN入れるんすよ（統合すればいいけどできてないところが多い）。１ベンダだけが完璧にやってます！となっても病院全体で見たら穴になる。

[tmatsuu]

せやな。せめてVPN接続先では再起動ボタンを押せるだけとかの制約をつけておくべきだったが、様々なパターンを想定して一応何でもできるようにしておくのが良くなさそうではある。

[katte]

やべえ

[s025236]

ネットワークに繋がる何でもできるが良くない実装なのは昔からそうでは?VPN突破+αの脆弱性で初めて攻撃が成功するはずなのでSSL CPNがとかIPsec VPNがとか関係なく界隈が内部のセキュリティを無視した結果だよ

[namisk]

“包丁で喩えるなら、台所で包丁を落としたら、家全体が爆発する包丁です。”

[gui1]

そだね。社内システムをぜんぶクラウドに引っ越してしまおう。そしてクラウドが(´・ω・｀)

[Dolpen]

ゼロトラストで権限掌握、分離、棚卸しの設計と運用ができるのであれば、VPNを保守専用ゲートウェイとして置く場合も経路の分離の設計と認証情報/ユーザーの棚卸し運用も出来そうだなあ。若干色付きの記事に見える。

[bventi]

何件被害に遭おうが、ない袖は振れないんだよ。良いサービスを提供してもクソサービスを提供しても基本同じ金額しかもらえないからな。こんな業界にSEとしている意味ない。

[about42]

全部読んだけど面白かった（面白がっている場合ではない

[KM202201]

ベンダーを信頼するのが駄目。多重下請け構造で、現場はそんなもん知らんと思ってやってるから。人口減少してるんだし、業者の削減、下請け段階の縮小をしないと。日本は社長の数が多すぎ。

[legnum]

2021年の半田病院と2022年の大阪の惨状見て金かけないんだから医療経営陣のシステムコスト軽視は尋常じゃないんだよ。VPN保守費すら金出さないのに高価なゼロトラスト費用なんか出すわけない。あと数件被害が必要

[STARFLEET]

昔、駅隣接オフィスに勤務していたとき、電車遅延で定時でのオフィス入館が1-2分遅れそうな時、VPNで社内システムにアクセスして出社ボタンを押したことがあったな…（その程度の遅延は咎められない会社だったがｗ）

[orangehalf]

"VPNの設計上、認証に成功したらネットワーク内部に入れる。入ったら横に動き放題。つまりVPNが一箇所で破られたら、被害はネットワーク全体に無制限に広がる" ここが一番の問題。被害が大きいからVPNが悪と言われやすい

[hiroomi]

“「保守用VPN」は存在しています。ベンダーが「リモートメンテナンスのために必要なんです」と言って置いていくVPN装置”Zscalerやcloudflareを入れながら、アカウントと権限棚卸。

[panoramaafro]

専用線。。コストえげつないけどこれやれてるところは強いなってなるよなあ。結局インフラ。

[ookitasaburou]

“厚労省の初動対応チームが派遣される事態となりました。ナースコールですよ。入院患者さんが緊急時にナースを呼ぶためのあのボタンの裏側にあるシステムが、ランサムウェアにやられたわけです。”

[morimarii]

理想と現実を考える必要があるがSSL-VPNだけはすぐにやめたほうがいい。Fortigateも匙を投げた

[ene0kcal]

別メーカーのVPNを直列に複数繋げて多段にするとかしないの？そうすれば一つは破られてもその奥が居るので堅牢さがあると思うのだが。

[yo_aibou]

「SSL VPNを採用していることは時代遅れで脆弱である」ことを始め、こういった業界標準的なことを学習できる場・機会みたいなのがアクティブ情報収集に限られることに問題提起したいです。ITパスポート？無理だね

[ishideo]

[[zero-trust]

[narukami]

「人間は必ずミスをする。組織は必ず怠る。ベンダーは必ず手を抜く。それを前提としない設計は、設計として破綻しています。」

[kaiton]

今回はナースコールシステム、他に電子カルテ、医事会計、レントゲン機器など病院はサプライチェーンリスクのお化けだよね、単にZTNAでは解決にはならないだろう、VPNへのゼロディ攻撃は除外し地道に対応が良いと思う

[takafumiat]

ねこかわいい。

[metamix]

病院の案件やってる人の意見見たが、まず医療業界においてSEという職業が詐欺師扱いで人権が無く、システムの改善提案なんてとても聞いてもらえる風土ではないらしく、そもそもセキュリティがどうこう以前の話っぽい

[mezamashi0540]

何も考えたくない顧客と手っ取り早く「安全」と言いたいベンダー双方の免罪符がVPNルーターだから似たような魔法の箱(手法)が生まれて、そちらに切り変わるだけな気がする。PPAPもそう。

[heppokopg2013]

外部にネットワーク敷設を依頼して、リモートでのメンテナンス用にVPNが必要。っていう構造上の問題なので、一生解決しない

[securecat]

保守業務は人間からAIへ置き換えるべきだろう。AI自身の保守もAI自身がする前提として。

[z67kjh]

事が起きる前に対策せよという考え方自体が人類には早いんじゃないですかね。70%の人は必要だと思っても災害に備えてないらしいので。法律を持ち出さないといけないのが実質的に証左である。というわけで諦め派ですな

[xyamashita]

コメント参照

[kojikoji75]

“「明日からZTNAなんて無理」という人のための現実的な移行パス”