病院や介護施設を運営する医療法人渓仁会はグループ内の関連施設のウェブサイトが不正アクセスにより改ざんされていたことを平成29年7月21日に発表しました。
引用元URL:http://www.keijinkai.com/wp-content/uploads/2017/07/170721_渓仁会グループホームページの改ざんに関するお詫びとご報告.pdf
・外部サイトへ誘導
・情報漏洩はナシ
平成29年6月27日(火)2:17~平成29年7月1日(土)10:09の期間中に対象サイトを閲覧すると、外部サイトへ誘導(リダイレクト)される状態にありました。個人情報の流出等は確認できていないとのことでした。
被害が確認された関連サイトは以下のとおり。
渓仁会グループ(メインサイト)
定山渓病院
渓仁会円山クリニック
手庭家庭医療クリニック
喜茂別町立クリニック
泊村立茅沼診療所
おおしまハーティケアセンター
特別養護老人ホーム 西円山敬樹園
特別養護老人ホーム 岩内ふれ愛の郷
特別養護老人ホーム 月寒あさがおの郷
特別養護老人ホーム きもべつ喜らめきの郷
特別養護老人ホーム 手稲つむぎの杜
地域密着型介護老人福祉施設 菊水こまちの郷
介護老人保健施設 コミュニティホーム白石
介護老人保健施設 コミュニティホーム八雲
介護老人保健施設 コミュニティホーム美唄
介護老人保健施設 コミュニティホーム岩内
ケアハウス カームヒル西円山
円山ハーティケアセンター
青葉ハーティケアセンター
美唄市東地区生活支援センターすまいる
株式会社ハーティワークス
株式会社ソーシャル
医療法人稲生会
ウェブサイトの管理に使用している(CMS)の脆弱性を利用されたことが原因とのことです。
被害を受けたサーバのセキュリティ強化を実施しています。
被害を防ぐ為には、脆弱性の発見と対応が必須となります。脆弱性の発見と対応をするには、情報セキュリティポリシーや社内でのルールを明確に決めておく必要があります。決める内容としては下記を例として挙げます。
・脆弱性の監査を実施
監査の対象を明確にする
・監査の方法
弊社の様な外部機関が実施する監査or社内での監査
・監査の時期
定期的な監査を実施する時期を明確にする
・脆弱性を発見した場合の対応方法
対象ごとに対応時期、対応方法等を明確にする
上記の内容を決定していないと、システムの脆弱性以前に、組織的な対策に脆弱性があることになります。ただ監査の対象ごとに監査の実施、発見された脆弱性への対応等を社内で完了させることができる会社は多くはありません。社内に実施できる人材がいない場合は、中小企業情報セキュリティ.COMにご相談ください。