ランサムウェア前線(3)陥落した米大手医療機関「MedStar」を巡る美談と醜聞

江添 佳代子

April 15, 2016 10:00
by 江添 佳代子

前回(その2)では、FBIが一般企業や研究者たちに調査の協力を求めているランサムウェア、SamSamの脅威について述べた。その後、SamSamによるインシデントが新たに報じられたので、お伝えしたい。Cisco Talosが予測していたとおり、被害を受けたのは米国の「大手医療機関」だった。

標的となったMedStar Health(以下MedStar)は、メリーランド州を拠点とする医療グループで、ボルチモア・ワシントン地域に10の病院を運営するほか、医療の研究や教育にも幅広く携わる大規模な非営利組織だ。公式サイトの説明によれば、MedStarは地域最大の医療機関であり、所属する医師の数は約6000人、診察する患者の数は年間50万人以上にも及ぶという。

3月28日、MedStarはFacebookで、組織のシステムがマルウェアに感染したことを報告した。報告の文書は次のように述べている。

「MedStar HealthのITシステムは今朝、特定のユーザーが当院のシステムにログインすることを妨げるウイルスに感染した。組織全体へのウイルスの拡散を防ぐため、MedStarは速やかに全システムのインターフェイスを落とした。我々は完全な検査を行い、また現状に対処するため、ITやサイバーセキュリティのパートナーたちと協働している。現在、我々の医療施設はすべて開いており、機能している(中略)情報が危機に晒されたことを示す証拠は何も見当たらない」

地元メディア『The Baltimore Sun』の報道によれば、犯人が要求した身代金は、暗号化されたコンピューター1台あたりの復号キーが3ビットコイン(報道当時のレートで約1250ドル)。そして暗号化された全てのコンピューターの復号キーであれば45ビットコイン(報道当時で約1万8500ドル)であったという。病院の規模や影響力を考えれば意外と安価に感じられるうえ、犯人は「まとめ買いの値下げ」にも応じると申し出ている。しかしMedStarは身代金の要求を拒否し、事実を公表して解決する道を選んだ。

緊急事態下で続けられた治療

感染が発表された当初、MedStarの医療現場は「紙のシステム」に頼らざるをえない事態に陥った。患者による診察の予約も妨げられ、さらにはナースステーションのコンピューターや家族待機室に置かれたモニターも電源が落とされた状態だったと、一部のメディアは報じた。そのような状況下で、大きな事故を起こさずに治療が続けられたのは不幸中の幸いだったと言えるだろう。

一方、MedStarのIT担当者たちも現場での対応に忙殺された。そして感染の翌日の29日、MedStarはFacebookで「すでに慎重な検査を終え、大部分のシステムの復旧に向かっている」と発表し、さらに翌30日には公式ウェブサイトでも現状を報告できるまで回復した。

その報告によれば、システムがダウンしている間にも、MedStarは「ほんの少しの例外を除き、通常と変わらぬケアを続けてきた」という。さらに具体的な数字として「2400人の救急患者の受け入れ」「782件の手術」「72人の新生児の誕生」が、緊急事態下の10の病院で行われていたことも記された。

MedStarはインシデントの発生時にも落ち着いて復旧作業に当たれるセキュリティ対策を施していること、そして非常事態でも運営を続けられる医療体勢を整えていることを実証した様子が、この報告から窺える。また、脅しに屈せず捜査に協力した彼らには、あまり非難される点がないようにも感じられる。しかし、ここで「めでたしめでたし」という話にはならなかった。

噂や誤報も? 過熱する報道

前々回(その1)でもお伝えしたとおり、今年2月以降の米国では、病院に対するランサムウェア攻撃が立て続けに報告されている。そんな中で、これまで以上に大きな規模の医療組織が攻撃された今回の事件には、国民の多くの注目が集まった。「OPMの大規模なハッキング」「AppleとFBIの対立」といったニュースには関心のない人々にとっても、「自分が手術されている最中に、病院のシステムが止まったらどうなるのだろう?」という緊張感は分かりやすい。そのせいもあってか、北米ではMedStarに関連した様々な続報が届けられている。

たとえば『The Washington Post』は3月31日の記事で「病院側は、すでに多くのシステムが復旧していると主張するが、実際の現場で働いているスタッフたちによれば、現在でも困難な状況が続いているようだ」と伝えた。また、「この事件を捜査しているFBIが、どうやら内部犯行を疑っているらしい」という記事も掲載されている。このように、メディアは様々な切り口で話題を提供しており、それらのニュースの中には、少々ゴシップ的に感じられるようなものも少なくない。

とりわけMedStarにとって不愉快だったのは、AP通信が4月5日に発表した記事だろう。「MedStarを襲った攻撃は『JBoss』の既知の欠陥を利用したものだったが、それらの欠陥については、2007年と2010年に修復が行われ、警告も発せられていた」「彼らがアドバイスに従って適切なアップデートを行っていれば、今回の攻撃は簡単に防ぐことができた」と、その記事は伝えている。

このAP通信の報道をソースとしたいくつかのメディアも、「そもそもMedStarが基本的なセキュリティ対策を怠ったせいで、患者が危険に晒されたのではないか」という論調の記事を掲載する。これにはMedStarもさすがに黙っていられなかったようだ。翌日の4月6日には、それらの報道に対する反論が同グループの公式サイトに掲載された。

この文書によれば、同グループのセキュリティパートナーであり、今回の事件のフォレンジック調査も行っているSymantecが、「2007年と2010年の(JBossの)修復と今回の事件には関連性がない」と説明しているという。反論は次のように続く。

「……IT、サイバーセキュリティ、そして法執行機関の専門家たちのアドバイスに従って、MedStarでは今回のマルウェアの事件に関し、これ以上の詳細な情報を述べない意向である。(中略)しかし我々は、この誤った報道については誤解を解かなければならないと感じた」

すでにMedStarのシステムは、ほぼ通常どおりの機能を取り戻したと言ってよいだろう。しかし注目の集まりやすいMedStarの報道は現在も止まっていない。さらに大きなインシデントが起こるまで、彼らの受難は続くのかもしれない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…