今週、大阪の病院がサイバー攻撃を受け、電子カルテなどのシステムに障害が発生。手術が中止になるなど混乱が続いている。
攻撃を受けたのは、地域医療の拠点となっている大阪急性期・総合医療センター。10月31日の朝、突然サーバー障害が発生し、現在も復旧のめどが立っていない。病院側は紙のカルテを使うなど手作業で診療などに対応している。
「すべてのファイルはあなたのパソコンのセキュリティの問題により暗号化されました。復元のためにはビットコインで(身代金を)払ってください」という脅迫文が送られてきたというが、病院側は支払うつもりはないとしている。
今回使われたのは「ランサムウェア」と呼ばれるウイルスで、感染したコンピュータのファイルを暗号化させるなどして使用不能に追い込み、元に戻すことと引き換えに身代金を要求するもの。
ともすれば命の危険も考えられる病院へのサイバー攻撃だが、実は近年、増加傾向にあるという。去年10月、徳島県にある半田病院もランサムウェアによる攻撃を受け、2カ月以上にわたって通常の診察ができなかった。今もバックアップの強化などの作業が続いていて、完全復旧には約2億円かかると見込まれている。
その背景には何があるのか。手口や防御方法などについて、3日の『ABEMA Prime』は専門家に聞いた。
今回の事例について、SBテクノロジー・セキュリティリサーチャーの辻伸弘氏は「ランサムウェアの典型的なもの。攻撃パターンは大きく2つあって、誰のところにも届くようなメールで来るパターンと、ネットワークの弱点を突くパターンがある。記者会見ではしきりに『サーバーが』と言っていたが、今回はネットワークの弱点を突かれて、ランサムウェアを攻撃者・ハッカーが感染させて回るようなことをしたのではないか」と説明。
病院が狙われる理由として2点を指摘し、「病院は命に関わるので、“すぐに戻さないといけないからお金を払ってくれそうだ”と考えるのはあり得る。一方で、ターゲットにしていない可能性もある。穴があれば入るというか、セキュリティの弱いところを順番にやっていったらたまたま病院だったというケース。ランサムウェアで攻撃するグループは多くあるが、病院や電気・ガス・水道といった止まると困ってしまうインフラについては、目を付けられかねないために攻撃を禁止しているケースもある」という。
今年の1月から2月にかけて行われた病院のセキュリティに関するアンケートでは、「サイバー攻撃の脅威を感じている」と答えたのが89%、「脆弱性のあるシステムを使い続けている」が40%で、40%のうちの約3割は「脆弱性に対応していない」「不明」だとしいる。
ランサムウェアは“分業化と専業化”が進んでおり、非常に厄介だとも辻氏は指摘する。
「ウイルス作成者を胴元として、攻撃者に“このウイルスを使わせてあげるから感染させて”という、ランサムウェアのサブスクのようなものだ。この攻撃者がネットワークに侵入して感染させ、うまく身代金をせしめることができたらお金を分ける。一番厄介なのはリサーチャーで、業界ではイニシャルアクセスブローカーと言う初期侵入口の売人。この売人は、例えばIDやパスワードが弱いリモートアクセスの入り口はないかと、穴を探すだけの仕事をしている。『この企業のものだが買う人はいるか?』というブローカーが増えてきて、それを攻撃者が買ってランサムウェアを仕入れて攻撃するという分業が進んでいる。非常に厄介な状況だ」
米セキュリティ専門サイトの「Coveware」によると、直近の身代金の相場は、支払額の平均値が22万8125ドルで、支払額の中央値が3万6360ドルだという。辻氏は「中央値でだいたい500万円前後。海外の大学で1億円程度払ったというニュースも過去にあったが、最初にふっかけてくるケースが多い。いくつか交渉の内容を教えてもらったことがあるが、最終的には9割引きくらいになることもある。今回の病院はランサムウェアの亜種だと思っているもので、それは平均500万円くらい。復旧を考えると払ったほうが安く済んだり、時間がかからないこともあるので、すごくいやらしいところをついてきている」との見方を示した。
制度アナリストの宇佐美典也氏は「ランサムウェアはある種の必要悪だと思っている。世の中にウイルスが悪ということを知らしめて、“ちゃんとセキュリティ対策をしてくれ”ということを表面化させてくれる存在なわけだ。サイバー防御システムは民間主導でやっていく必要があって、ランサムウェア対策は格好の分野。こういう事例が改めて出てきて、それに合わせてみんなが対策していけば、国全体としてレベルが上がっていくと思う」と投げかける。
これに辻氏は「その観点は非常におもしろい。攻撃者の中には、お金を払えばファイルを元に戻すし、盗んだファイルも公開しないし、削除する(者もいる)。加えて、自分たちがどうやってシステムに侵入したかというレポートを提出する人もいる。向こうなりのジョークなのかはわからないが、彼らが言うには“払ってもらったら穴を塞ぐ方法もコンサルしてやる”という表現で書かれている」と答えた。
では、セキュリティ対策にかける費用とランサムウェアのリスクはどう考えればいいのか。「やはり反社会勢力にあたるようなところにお金を落とすことの是非はしっかり考えてもらいたい。病気もそうだが、自分の身体がめちゃくちゃ悪くなるまで放っておくからお金がかかるわけだ。その手前で穴を探すとか、自分たちのネットワークにある弱点は何なのかをもう1回洗い直すことを推奨する」と呼びかけた。(『ABEMA Prime』より)
