ランサムウェア前線(1)北米で医療機関への攻撃が急増 病院のシステムを人質に「身代金」要求

江添 佳代子

April 11, 2016 14:00
by 江添 佳代子

2012年頃から世界中で活動を広げてきたランサムウェアは、これまでセキュリティ業界に数多くの話題を提供してきたものの、日本においては「BitCrypt(日本語での脅迫を可能としたランサムウェア)」の存在が2014年に確認されてからも、その恐怖はなかなか一般ユーザー層まで浸透しなかった。しかし2016年に国内のランサムウェアの感染数が激増したことで、ようやく日本のブログやSNSなどでも一般ユーザーによる生々しい被害報告が伝えられるようになった。先日にはNHKも「身代金要求型マルウェア」と表現する形で、この話題を取り上げたほどである。

ランサムウェアの一般的な拡散手法や手口の変化、および悪名高き「Cryptolocker」の脅威などに関しては、昨年1月の記事(YouTubeで感染? ランサムウェアの恐怖)でも大まかにお伝えしているので、今回は北米で報じられている昨今のランサムウェア事情を取り上げていきたい。

ランサムウェア攻撃で病院が「緊急事態」に

北米では2月に入ってから、病院を標的としたランサムウェア攻撃が目立っている。最近の事例では3月22日、ケンタッキー州ヘンダーソンの病院Methodist Hospital(以下Methodist)に対する攻撃が話題となった。

このMethodistの事件を最初に報じたのは、大規模なセキュリティ侵害事件を過去に何度も暴いてきた著名なジャーナリスト、ブライアン・クレブスだった。彼は今回、この事件を伝える記事の冒頭で、Methodistのウェブサイト上に記された告知文を引用し、次のように伝えた。

「Methodist Hospitalは現在、ウェブベースのサービスの利用を制限するコンピューターウイルスにより、『内部緊急事態』下で運営している」

同院の情報システムディレクターがクレブスに説明したところによると、3月16日に同院を襲ったランサムウェアは、内部ネットワーク全体への感染の拡散を試み、複数の異なる内部システムの感染に成功したという。Methodistは、全てのデスクトップPCをシャットダウンして安全を確認したのち、システムをひとつずつオンラインに戻しているものの、要求された身代金の4ビットコインを支払うか否かは、まだ決断していないと同院は語った。ちなみに4ビットコインは本稿執筆時のレートで19万円弱。通常、ランサムウェアが法人に提示する身代金の相場を考えると、それほど高額ではない。

このインシデントで利用されたランサムウェアは、「Locky」の一種だったと考えられている。様々な言語でメッセージを表示できるLockyは、いま日本でも被害が拡散しているため、その名前を耳にしている人も少なくないだろう。実はMethodistの侵害の前月にも、ランサムウェアに襲われたカリフォルニアの病院Hollywood Presbyterian Hospital(以下Presbyterian)が、「ハッカーに身代金を支払った」ことで大きな騒ぎとなったのだが、この攻撃に用いられたのもLockyだったと見られている。

「身代金」の要求に応じた病院も

ベッド数が400床を越える規模の私立病院Presbyterianの説明によれば、同院がランサムウェアに感染したのは今年の2月5日だった。この感染でファイルを暗号化され、システムをロックされたPresbyterianは、復号キーと引き替えに40ビットコイン(本稿執筆時のレートで190万円弱)の身代金を犯人に支払ったことを明らかにした。一部報道では、もともと犯人が要求していた金額は340万ドル(3億8千万円弱)だったとも伝えられている。

北米では、FBIなどの法執行機関やセキュリティ研究者たちが、「たとえランサムウェアに感染しても身代金の要求には応じないこと」を推奨している。さらに、身代金を支払っても暗号化されたデータが復号できなかったというケースも報告されている。しかし現実的に考えるなら、業務の中断によって大きな損害を被ることが明白である場合、なりふり構っていられない被害者もいるだろう。多くの患者の命や健康を預かるPresbyterianも、その一例だったと言える。

ロイターの報告によれば、ランサムウェアの感染によりシステムがダウンしたPresbyterianでは、メールが利用不可能となったため、代わりの連絡手段として用いられたファックスは回線が大混雑し、また医師たちは業務の記録に「紙とペン」を利用しなければならず、何人かの救急患者は他の病院へ送られたという。「当院のシステムと管理機能を復旧するのに最も手っ取り早く、かつ効率的な方法は、復号キーを手に入れること。それが通常の業務を取り戻す最善の方法だった」と同院はコメントしている。

続々と報じられる、病院へのランサムウェア攻撃

このPresbyterianの事件が起きた2月、多くの報道機関が示した反応は次のようなものだった。

「ランサムウェアの攻撃は一般化しているものの、医療機関を狙ったものは珍しい。サイバーセキュリティ専門家のフィル・リーバーマンは、『病院のシャットダウンを目的とした、このような攻撃は聞いたことがない』と語った」(LA Times

「このハリウッドの病院に対するハッキングは、いまのところ『ランサムウェア攻撃が公になった事件』として北米では最大のものだろう」(CBC

つまりランサムウェアが病院のシステムを落とし、それが公に発表されたケースは、2月の時点では「珍しい事件」として扱われていた。しかし翌月13日にはカナダのOttawa Hospitalがランサムウェアに襲われた事件が報じられ、その翌週には米国の2つの病院、Chino Valley Medical Center、Desert Valley Hospitalが同様の被害を受けたことが明らかとなり、さらに翌週には、冒頭でお伝えしたMethodist Hospitalの事件が起きた。

これらの病院は、いずれも「適切なセキュリティ対策が行われていたため大きな損害は出なかった」「患者のデータは侵害されなかった」と語っており、事件後には通常の業務を速やかに再開している。言い換えるなら、それらはニュースで報道されても悪い評判に繋がりにくいケースだ。もしかすると、Presbyterianのように「話題の病院」となって非難されることを避けるため、ランサムウェアの被害を公にしなかった病院は他に存在していたかもしれない。

病院は格好の標的

この数年のサイバーセキュリティ界では「医療データを狙った犯罪」がキーワードのひとつになっている。医療に関する個人データは、極めてセンシティブな情報であるために用途が幅広く、また闇ルートで転売する際にも高値がつくからだ。

同様に、ここ数年間でランサムウェアの活動が激化したことは皆様もご存じの通りだが、そこでは主に「バックアップを怠っている一般ユーザーや職員の端末」に感染し、その端末内のファイルを暗号化し、復号キーと引き替えに数万円〜数十万円程度の金銭を要求するという手口が利用されていた。

しかし「病院をランサムウェアで脅すこと」は、それらの犯罪と比べてはるかに効率が良いだろう。院内のシステム全体でファイルを暗号化し、完全にダウンさせてから行う恐喝は、非常に強力な脅しとなる。それは病院の通常業務を妨害するだけでなく、コンピューター制御で多くの機器を管理している場合は生命に関わる問題となりかねない。さらに病院にとって「信頼」は最も重要であるため、ランサムウェアの被害に遭っても警察機関に通報せず、黙って身代金を支払い、泣き寝入りするといったケースも考えられる。それは犯罪者たちにとって非常に好都合だ。

一刻も早く通常の業務を再開しなければならなかったPresbyterianが、やむなく身代金を支払ったことは、一方的に非難するには忍びない。しかし、手っ取り早い方法で金を手に入れたいと願う犯罪者たちは、同院の行動を見て鼓舞させられたことだろう。それは結果として、さらに多くの病院を危険に晒す決断でもあった。
  
その2に続く




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

違法スパイ装置と見なされたIoT人形「ケイラ」とは?(前編)

February 27, 2017 08:00

by 江添 佳代子

ドイツの連邦ネットワーク規制庁Bundesnetzagenturは2月17日、インターネット接続の人形「マイ・フレンド・ケイラ(My Friend Cayla、以下ケイラ)」を違法な監視デバイスであると判断し、すでに国内市場から排除していることを発表した。 ドイツの連邦ネットワーク規制庁の発表 ドイ…

ハッカーの系譜(10)マービン・ミンスキー (5) 伝説のダートマス会議に参加

February 23, 2017 08:00

by 牧野武文

暇つぶしで共焦点顕微鏡を発明 しかし、なにもしないわけにはいかないので、好きな機械いじり三昧をしている間に、共焦点顕微鏡のアイディアを思いついた。これは顕微鏡にピンホール(小さな穴)を使うというアイディアだった。 レンズを組み合わせて構成されている一般の光学顕微鏡では、試料を観察するときに焦点を合わ…