サイバー攻撃を受けたニュージーランドのワイカト地区保健局(HPより)

 

 1社に対するサイバー攻撃であっても、社会経済活動や国民生活に大打撃を及ぼし得る。今年5月に発生した米石油パイプライン最大手「コロニアル・パイプライン」事件は、身代金要求型ウイルス(ランサムウェア)攻撃の恐ろしさをまざまざと見せつけた。

 イスラエルのサイバーセキュリティ企業「チェック・ポイント」が今年第1四半期に検知した身代金要求型ウイルス攻撃の被害件数は、前年比で倍増した。中でもとりわけ攻撃を受けているのが医療サービスであり、2番目の電気・ガス・水道などの公共サービスと比べ、週平均で1.85倍と断トツだ。

 サイバー攻撃のせいで治療に必要なITシステムや患者のデータベースが使えなくなれば、患者の命に関わる。そもそもコロナ禍で逼迫している病院は、サイバーセキュリティ対策にまで手が回っていないことが多い。保健当局が攻撃されれば、関連する多くの病院のITシステムがダウンしかねない。

 医療サービスのこうした特殊な事情につけ込み、サイバー攻撃で患者の命を人質に取ってプレッシャーをかける悪質な攻撃が激増しているのだ。2021年5月だけでも、ニュージーランドや米国、アイルランドの医療サービスが中断され、癌患者の治療などに多大な影響が出ている。

ニュージーランドの癌治療に打撃

 5月18日、ニュージーランド北島の中西部に位置するワイカト地区保健局が身代金要求型ウイルス攻撃を受け、同地区の5つの病院のメールなどITシステムがダウンしてしまった。ニュージーランドには、保健省の下に20の地区保健局があり、ワイカト地区保健局が担当している住民は、全人口の9%弱にあたる42万5000人いる。

 同地区の病院では患者の情報にアクセス不能となり、手術は延期、外来受付は閉鎖、スタッフはペンと紙を使って業務に当たった。病院の電話も使えなくなったため、入院患者の安否を心配した家族たちが、入院患者の携帯電話へ連絡する騒ぎとなったという。その他、心臓発作に襲われた患者を別の地区に急遽搬送した例もあった。

 今回の事件で最も打撃を受けたのが、癌治療だった。ワイカト地区は、国内で2番目に大きい放射線治療サービス拠点である。放射線治療はCTやMRIなどで撮影した3D画像に基づいて治療箇所を決めるため、コンピュータシステムに頼るところが大きい。

 その大切なシステムが完全にダウンしたため、ワイカト地区では放射線治療ができなくなってしまい、オークランドなど別の地区に患者が搬送されている。

 サイバー攻撃発生から2週間経った6月2日時点でやっとサーバーの半分が復旧したものの、放射線治療機能は回復していない。私立の病院に手術や検査が回される例も続いており、最終的な被害額がどれくらいにまで膨らむかは予想がつかない。

 治療行為以外でも、混乱は広がっている。ITシステムのダウンで新型コロナウイルスの陰性証明が出せなくなり、5月21日にニュージーランド航空がサモア島とニュージーランド間の2便を欠航させた。また、ワイカト地区の病院のスタッフへの給与の支払い手続きに遅れが生じている。

患者の個人情報をマスコミに送付

 攻撃直後からニュージーランド政府は、犯行グループに身代金は払わないと明言してきた。しかし犯行グループは、さらに圧力をかけて金を払わせようとし、5月24日の夕方にとんでもない行動に出た。

 あろうことか、国営ラジオ局「ラジオ・ニュージーランド」などマスコミ4社に、サイバー攻撃で盗んだスタッフや患者の名前、住所、電話番号などの個人情報をメールで送りつけたのだ。

 ワイカト地区保健局長は、マスコミに送付されたファイルが盗まれた情報であったと認めている。マスコミ4社は、この情報の詳細を報じないと決断、犯行グループから来たメールを警察に届け出た。また、個人情報の流出について心配しているワイカトの住民用に、無料の電話相談窓口が開設された。

 事件の深刻化を鑑み、5月26日、ニュージーランド政府の国内外安全保障調整委員会が開かれ、今後の対応が話し合われた。同委員会は、首相や内閣に対し、安全保障問題への対応や優先順位について助言を行う。

 アーダーン首相は、同日、世界的にサイバー攻撃の脅威が増しており、ニュージーランドも例外ではないと危機感をあらわにした。政府が今後どのようなサイバーセキュリティ強化策を取っていくか注目される。

 このように盗んだ情報を漏洩し、身代金を払うよう被害者に圧力をかける卑劣な手口は、残念ながら最近よく用いられている。

 ニュージーランドの事件とほぼ同時期の5月14日に、アイルランドの国営医療サービスが、身代金要求型ウイルスによる大規模な攻撃を受けた。その数日後、犯行グループが約520人分の患者の個人情報をオンライン上に流出させている。

 サイバー攻撃から約2週間が経っても、アイルランド国内の病院での外来受付機能は、半分しか回復していない。ネットワークの復旧作業やITシステムの更新作業など、被害推定額は、少なくとも1億ユーロ(約134億円)に上る。

急増している「二重の脅迫型」

 身代金要求型ウイルスとは、1989年から犯罪者グループが主に金銭目的のサイバー攻撃で使っているコンピュータウイルスの一種である。業務に必要不可欠なデータを暗号化し、業務継続を人質に取る。その上で、「解除する鍵が欲しければ、いついつまでにこれだけの身代金を暗号資産で払え」と脅迫するメッセージを被害者の端末画面に残す。

 ビットコインなどの暗号資産で足のつきにくい金のやり取りが可能になり、2015年以降、身代金要求型ウイルスによる攻撃が激増した。

 また、米コロニアル・パイプラインや東芝テックを攻撃した「ダークサイド」のように、「サービス」として身代金要求型ウイルスを提供する犯罪グループが多数登場したため、自らコンピュータウイルスを作らなくても容易に入手できるようになり、攻撃のハードルが下がった。

 アイルランドの事件でも使われ、2019年以降急増している身代金要求型ウイルス攻撃が、「二重の脅迫型」と呼ばれる手口だ。

 まず機密情報を被害者組織から盗み出してから、相手のシステムを感染させ、情報を暗号化してしまう。情報やシステムを使用不能にし、業務継続を人質に取って、復号化する鍵の対価の身代金を要求するだけではない。期限内に身代金が支払われなければ、盗んだ情報を漏洩させると被害者を脅す。ハッタリではないと示してさらなる圧力をかけるため、攻撃者は最初に盗んだ情報の一部をネット上にさらす。そして身代金を期限内に受け取れなければ、窃取情報を売り払うかネット上に暴露する。

 身代金要求型ウイルスによる攻撃全体で二重の脅迫型が占める割合は、今年の第1四半期時点で77%に達している。米セキュリティ企業「コヴウェア」が明らかにした。

 各国の司法当局は、身代金を支払えば、次の攻撃の資金源になってしまうため、払わないよう被害者に要請している。しかし、業務中断の長期化や、顧客や取引先の機密情報のネット上への流出による悪影響などを懸念し、支払いを選ぶ被害者もいる。

 とは言え、売れば金になる最新技術情報や個人情報を犯罪グループが約束どおり削除し、漏洩しない保証はどこにもない。

半数以上の日本企業が攻撃を受けた

 実は、インターポール(国際刑事警察機構)は昨年4月の段階で、医療機関への身代金要求型ウイルス攻撃の増加について警戒を呼びかけていた。だがコロナ禍でテレワークするスタッフが増え、PCR検査やワクチン接種の会場設置が進む中、医療機関のサイバーセキュリティ対策は必ずしも追いついていない。

 実際、医療機関のサイバーセキュリティは、他の業種と比べ強固とは言い難い。NTTリミテッドが今年5月に出した報告書を見ると、2020年に最もサイバー攻撃で狙われたのは、医療、製造業、金融だった。金融のサイバーセキュリティ成熟度が1.84点、製造業は1.21点なのに対し、医療機関は1.02点に過ぎない。

 今年第1四半期時点のコヴウェアの調査では、身代金要求型ウイルス攻撃の3割で使われているのが、なりすましメールである。有害なメールがないか確認し、振り分けるスキャンとフィルタリング機能は、サイバー攻撃対策上不可欠であるにもかかわらず、米保険会社「コーヴァス」によると、医療機関の86%がこの対策を取っていない。

 日本でも、2018年10月には、奈良県の宇陀市立病院の電子カルテシステムが身代金要求型ウイルスに感染、1133人分の患者データが暗号化されアクセスできなくなってしまった。

 また、昨年10月以降、塩野義製薬、カプコン、三菱商事など日本企業が立て続けに被害にあっている。

 米セキュリティ企業「クラウドストライク」が昨年11月に出した報告書によると、過去1年間に身代金要求型ウイルス攻撃を受けた日本企業は、回答者全体の半数以上の52%に上った。被害にあった日本企業の32%が身代金を支払っており、その平均額は117万ドル(約1億2840万円)だった。

急がれる「バックアップ」などの対策

 身代金要求型ウイルスによる攻撃被害を阻止できる能力は、各国とも十分とは言えない。英セキュリティ企業「ソフォス」の調査では、ウイルスによる暗号化を阻止できた割合は、米国が25%、英国が22%、日本が5%だった。

 被害を防ぐには、テレワークで利用が増えているにもかかわらずセキュリティ対策が遅れているリモートデスクトップなどのシステムに脆弱性が見つかった場合、早め早めに修正プログラムを適用することが必要だ。前述したように、なりすましメール対策として、メールのフィルタリング・スキャニングツールの導入も求められる。

 ただし、全ての侵入を防止するのは不可能であるため、万一、ウイルスに感染しても業務を速やかに復旧するには、こまめにデータをバックアップしておく必要がある。

 ソフォスによると、身代金を払っても、全ての情報を取り戻せた被害者はわずか8%しかいない。その一方で、払わなくても、バックアップデータから復旧できた被害者は56%いた。それだけバックアップは重要なのである。

 また、二重の脅迫型ウイルスに感染し、機密情報を抜かれそうになってもすぐに検知・食い止められる「データ損失防止」と呼ばれるツールの導入も必要だ。それに加えて、データを暗号化して保存しておけば、万が一機密情報が盗まれても、オンライン上や第三者への漏洩を回避できる。

 さらに、サイバー攻撃による業務の一時停止などの経営危機へ迅速に対応するために、被害を受けた際の対応要領の策定も急がれる。NTTセキュリティ(現NTTリミテッド)の調査では、2019年時点で対応要領を定めている企業は世界でわずか52%しかない。

 身代金要求型ウイルス攻撃による被害は、業種によっては、国民の命や社会経済活動を危険にさらす。サイバーセキュリティ強化が日本でも不可欠だ。

----------

松原実穂子(まつばら・みほこ)

NTT チーフ・サイバーセキュリティ・ストラテジスト

早稲田大学卒業後、防衛省勤務。米ジョンズ・ホプキンス大学高等国際問題研究大学院で修士号取得。NTTでサイバーセキュリティに関する対外発信を担当。著書に『サイバーセキュリティ 組織を脅威から守る戦略・人材・インテリジェンス』(新潮社、大川出版賞受賞)。

----------

 

記事全文を印刷するには、会員登録が必要になります。