被害総額30億円以上--実際の事件から考えるランサムウェアへの対策

岡出明紀 (ストレージクラフト テクノロジー)

2016-05-03 08:00

 事件はロサンゼルスの中規模総合病院で発生した。2月5日、同病院で電子カルテシステム(Electronic Medical Record:EMR)に異常が生じているのが発見された。医師がEMR上の医療記録にまったくアクセスできなくなっていた。

 医師たちはしかたがなく、紙やペン、ファクスを駆使して仕事を遂行した。しかし、医療記録にアクセスできなければ患者に必要な医療を施せないケースは多く、同病院の異常事態はどんどん深刻化していった。

 果たして、この病院はどのように対応したか。そして、そもそもこのような事態に陥らないためにはどうしたらよかったのか。病院に襲いかかった最新のセキュリティインシデントを通じて、あるべき情報保護対策を考える。

異常の原因はランサムウェア

 調査の結果、システム異常の原因は、ランサムウェアによってサーバ上のデータファイルが暗号化されロックされたものだと判明した。ロックを解除するには復号鍵が必要だが、これを自力で特定するのは容易ではない。通常はデータファイルをロックした当人が持っているものに頼るしかない。実際、この事件でも復号鍵の特定は難航したようだ。

 そのうちに犯人からアプローチがあった。EMRシステムを元に戻したければ、40ビットコイン(約193万円)を支払えというのだ。その通り支払ったからといって、データファイルのロックを解除する復号鍵が手に入る保証はない。

 しかし、同病院のプレジデント兼最高経営責任者(CEO)は、院内の混乱状態をこれ以上放置するに忍びなかった。EMRシステムを最も速く、効果的に取り戻す方法はこれしかないと独自に判断、法執行機関に連絡するより前に40ビットコインを犯人に支払ってしまった

 幸いなことに、犯人は復号鍵を送ってきた。そして、異常を発見した日から10日経った2月15日、EMRシステムは正常に機能を回復し、院内業務は今まで通り行えるようになった。しかし、この事件には米連邦捜査局(FBI)が乗り出し、現在も捜査が続けられている。病院は捜査への協力が要請されており、捜査の妨げになると思われる行為が制限されている。

 この病院の正式名称はHollywood Presbyterian Medical Centerといい、米国カリフォルニア州のロサンゼルスフェリスエリアにある。430床程度の中規模病院で設立は1924年。現在の経営母体は韓国のCHA医療センターである。

改めてランサムウェアとは何か

 今回の犯罪に登場したランサムウェアとはどういうものか。

 ランサムとは身代金を意味する。一言でいえば、データを人質にとって金銭を要求するマルウェアである。技術的には、クライアントPCやサーバ上のディスクやデータファイルを暗号化して利用できなくしたり、PC上のリソースにアクセス制限をかけたりして、ユーザーの活動を阻害する。

 そして、「元通り使いたければ、いつまでにいくら払え」と迫ってくるのである。冒頭のケースでは身代金を支払って復号鍵が手に入ったが、いつも犯人が約束を守るとは限らない。“支払い損の泣き寝入り”になる可能性は十分にある。

 金銭の種類は、銀行振り込みの場合もあれば、UkashやPaysafecardといったオンライン決済金券サービスが用いられることもあるが、ここではBitcoinという暗号通貨が使われた。それは追跡が困難だからだ。詳細を語ることは本稿のテーマではないので省略するが、“足がつきにくい貨幣”としてBitcoinが選ばれる傾向は進んでいる。

 被害額も年々甚大になっている。FBIは2015年6月、「CryptoWall」というランサムウェアで寄せられた相談件数が992件、被害総額は1800万ドル(約20億円)に達したと報告、オンラインニュースサイトであるGeek.comは「CryptoLocker」の作者がこれまでに3000万ドル(約34億円)相当の身代金を手に入れた可能性があるとしている。そうした傾向があるからか、この事件でも当初、身代金は9000ビットコイン(約4億3500万円)だと報じたマスコミがあったようだ。

 歴史上、最初にランサムウェアの存在が確認されたのは1989年のことで、その意味ではまったく新種というわけではない。しかし、ランサムウェアによる犯罪はここに来て急に増加しており、被害は国際的に広がっている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  2. 運用管理

    IDCレポートが明かす、AI時代において「プライベートAIインフラ」が企業競争力に果たす役割と効果

  3. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  4. ビジネスアプリケーション

    新規アポ率が従来の20倍になった、中小企業のDX奮闘記--ツール活用と効率化がカギ

  5. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]