事件はロサンゼルスの中規模総合病院で発生した。2月5日、同病院で電子カルテシステム(Electronic Medical Record:EMR)に異常が生じているのが発見された。医師がEMR上の医療記録にまったくアクセスできなくなっていた。
医師たちはしかたがなく、紙やペン、ファクスを駆使して仕事を遂行した。しかし、医療記録にアクセスできなければ患者に必要な医療を施せないケースは多く、同病院の異常事態はどんどん深刻化していった。
果たして、この病院はどのように対応したか。そして、そもそもこのような事態に陥らないためにはどうしたらよかったのか。病院に襲いかかった最新のセキュリティインシデントを通じて、あるべき情報保護対策を考える。
異常の原因はランサムウェア
調査の結果、システム異常の原因は、ランサムウェアによってサーバ上のデータファイルが暗号化されロックされたものだと判明した。ロックを解除するには復号鍵が必要だが、これを自力で特定するのは容易ではない。通常はデータファイルをロックした当人が持っているものに頼るしかない。実際、この事件でも復号鍵の特定は難航したようだ。
そのうちに犯人からアプローチがあった。EMRシステムを元に戻したければ、40ビットコイン(約193万円)を支払えというのだ。その通り支払ったからといって、データファイルのロックを解除する復号鍵が手に入る保証はない。
しかし、同病院のプレジデント兼最高経営責任者(CEO)は、院内の混乱状態をこれ以上放置するに忍びなかった。EMRシステムを最も速く、効果的に取り戻す方法はこれしかないと独自に判断、法執行機関に連絡するより前に40ビットコインを犯人に支払ってしまった。
幸いなことに、犯人は復号鍵を送ってきた。そして、異常を発見した日から10日経った2月15日、EMRシステムは正常に機能を回復し、院内業務は今まで通り行えるようになった。しかし、この事件には米連邦捜査局(FBI)が乗り出し、現在も捜査が続けられている。病院は捜査への協力が要請されており、捜査の妨げになると思われる行為が制限されている。
この病院の正式名称はHollywood Presbyterian Medical Centerといい、米国カリフォルニア州のロサンゼルスフェリスエリアにある。430床程度の中規模病院で設立は1924年。現在の経営母体は韓国のCHA医療センターである。
TechRepublic Japan関連記事:セキュリティベンダー座談会
(1)アンチウイルスソフトは死んだのか
(2)重要なのは侵入された後の対応
(3)CSIRT/SOCだけでは意味がない
(4)「われわれはあなたの活動を監視しています」--悪意の権限者への対応
(5)「何を守るのか」を見極めて被害の最小化を
改めてランサムウェアとは何か
今回の犯罪に登場したランサムウェアとはどういうものか。
ランサムとは身代金を意味する。一言でいえば、データを人質にとって金銭を要求するマルウェアである。技術的には、クライアントPCやサーバ上のディスクやデータファイルを暗号化して利用できなくしたり、PC上のリソースにアクセス制限をかけたりして、ユーザーの活動を阻害する。
そして、「元通り使いたければ、いつまでにいくら払え」と迫ってくるのである。冒頭のケースでは身代金を支払って復号鍵が手に入ったが、いつも犯人が約束を守るとは限らない。“支払い損の泣き寝入り”になる可能性は十分にある。
金銭の種類は、銀行振り込みの場合もあれば、UkashやPaysafecardといったオンライン決済金券サービスが用いられることもあるが、ここではBitcoinという暗号通貨が使われた。それは追跡が困難だからだ。詳細を語ることは本稿のテーマではないので省略するが、“足がつきにくい貨幣”としてBitcoinが選ばれる傾向は進んでいる。
被害額も年々甚大になっている。FBIは2015年6月、「CryptoWall」というランサムウェアで寄せられた相談件数が992件、被害総額は1800万ドル(約20億円)に達したと報告、オンラインニュースサイトであるGeek.comは「CryptoLocker」の作者がこれまでに3000万ドル(約34億円)相当の身代金を手に入れた可能性があるとしている。そうした傾向があるからか、この事件でも当初、身代金は9000ビットコイン(約4億3500万円)だと報じたマスコミがあったようだ。
歴史上、最初にランサムウェアの存在が確認されたのは1989年のことで、その意味ではまったく新種というわけではない。しかし、ランサムウェアによる犯罪はここに来て急に増加しており、被害は国際的に広がっている。