身代金要求型ウイルスを使った業務妨害・金銭要求

コロナ禍で世界的に増えているサイバー攻撃。医療機関や医療サプライチェーンを狙った攻撃も増加している。患者の命にも関わる攻撃に対し、どう立ち向かっていけばいいのか。NTTチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏が2月1日、都内で行ったセミナー「コロナ禍におけるサイバー攻撃の傾向と対策」（主催：株式会社新社会システム総合研究所）の中で、主に医療に関する部分を紹介する。

　松原氏はコロナ禍のサイバー攻撃増加を懸念しており、背景に3つの理由を挙げる。1つは、緊急事態宣言等で外出がままならず不安に駆られる中、最新情報を求めていろいろなものをクリックしてしまいがちである。コロナ禍前のなりすましメールのクリック率は5％以下だが、コロナ禍後は40％以上に増加。

　例えば、新型コロナウイルスのワクチン接種が進む中、日本を含め、各国で大量に見つかっているのがワクチン絡みの詐欺メールだ。厚生労働省や地方自治体の職員を名乗り、「ワクチン接種の予約が出来るようになったので、優先接種をするためにクレジットカード情報を教えてほしい」「10万円払い込んでほしい」等とメールやショートメッセージを送り付ける。個人情報や金銭の窃取が心配されている。

　2つ目はテレワークへの急激な移行だ。NTTリミテッドの調査では、テレワークに特化した研修を実施している組織は世界でも43％。大多数の人々はテレワークのIT環境を安全に使う方法やサイバー攻撃からの防御法を必ずしも理解していない。トレンドマイクロの調査では、業務用パソコンを私用に使っていないと言い切れる人は世界でわずか2割だ。

　3つ目は景気の悪化である。経営層がよほど強いリーダーシップを示さない限り、サイバーセキュリティ予算が削られかねない。

　コロナ禍でとりわけサイバー攻撃の被害を受けているのが、医療サプライチェーンだ。イスラエルのサイバーセキュリティ企業「チェック・ポイント」によると、医療機関への攻撃は昨年11月から今年1月の間だけで45％も激増した。攻撃の1つはコロナのワクチンや治療薬等の研究成果を盗むスパイ目的の攻撃だ。2つ目は身代金要求型ウイルスを使った金銭目的の業務妨害だ。身代金要求型ウイルスに感染すると、ファイルが暗号化されITシステムが使えなくなるため、業務が中断されかねない。

医療機関への攻撃増加の背景

　病院が患者の治療法や健康状態の入ったデータベースにアクセス出来なくなれば、治療や投薬、入退院の手続きに支障が出る。最悪の場合、患者の命が危険にさらされる。そのため、身代金を支払って暗号を解く鍵を入手せざるを得ない窮地に追い込もうとして、病院を狙った攻撃が続いているのだ。

　米国だけでも昨年、約560もの医療機関が身代金要求型ウイルスによる攻撃を受けた。昨年10月に被害を受けたバーモント大学の医療部門のITシステムがダウンした際、患者の治療を続ける事が困難になった。同大学は医療スタッフ300人を一時解雇するまでに追い込まれた。1日当たりの被害額は、なんと1億5500万円近くにも上っている。昨年6月に被害を受けた米カリフォルニア大学サンフランシスコ校医学部の場合、研究に不可欠な情報が暗号化され、最終的に約1億2000万円の身代金を支払った。

　医療機関に対するサイバー攻撃が増えている理由として、松原氏は以下の3つを挙げる。1つはIT予算に占めるサイバーセキュリティ予算の割合が低い事。例えば、サイバーセキュリティ対策に注力してきた金融業界の場合、IT予算に占めるサイバーセキュリティ予算の割合は6〜14％だが、医療機関の場合は3〜4％にすぎない。

　2つ目はサイバーセキュリティ対策が不足している事。サイバー攻撃で最も多く使われる手口の1つがなりすましメールだが、米保険会社「コーヴァス」によると最も基本的なサイバーセキュリティ対策であるメールのスキャニング・フィルタリングツールでさえ、医療機関の86％が使っていない。それだけなりすましメールが医療スタッフに対して届きやすい状況だ。

　3つ目はコロナ禍における医療資源の逼迫だ。コロナ禍以前ですらサイバーセキュリティ対策が遅れていたのに、新型コロナウイルスの収束が見えない中、更に対策が取りにくくなっている。

　NTTリミテッドがまとめた医療機関の地域別サイバーセキュリティ成熟度によると、アジア太平洋地域が他の地域に比べて圧倒的に低く、アメリカ大陸と比べると評点が3 分の1 程度しかない。欧州や同じアジア太平洋地域の豪州と比べても半分ほどだ。米サイバーセキュリティ企業「クラウドストライク」によると、昨年4月以降、日本の複数のワクチン開発機関に対して断続的にサイバー攻撃が行われた。なりすましメールに新型コロナ関係のファイルが添付されていた。同社は中国のハッカー集団が行ったと推測している。

医療関係機関への攻撃の実態

　身代金要求型ウイルスの被害も日本企業で発生している。読売新聞によると、身代金要求型ウイルスに感染したのは塩野義製薬の台湾現地法人で、同法人の医療機器の輸入許可証や社員在留許可証がダークウェブで公開されてしまった。これは通常のブラウザではアクセス出来ない匿名性が高いサイトで、ドラッグや個人情報等の違法取引が横行している。

　米国では製薬大手ギリアド・サイエンシズが昨年4月、イラン人と見られるハッカー集団からサイバー攻撃を受けた。製薬大手モデルナも昨年7月、中国人とみられるハッカー集団に狙われた。サイバー攻撃で名前が出てくるのはイラン、北朝鮮、中国、ロシアだが、いずれも関与を認めていない。中でも大規模なサイバー攻撃を行っていると報じられたのが北朝鮮だ。米ジョンソン・エンド・ジョンソン、英アストラゼネカ等が狙われた。

　コロナワクチンには低温物流が必要だ。昨年後半から低温物流企業に対しても知的財産を狙ったサイバー攻撃が行われ、国家の関与が指摘された。低温物流世界2位の米アメリコールド・リアルティ・トラストには昨年11月、身代金要求型ウイルスによる攻撃が行われ、業務が一時停止した。

　更に、ワクチンの承認機関も攻撃を受けている。米ファイザーと独ビオンテック、米モデルナが欧州医薬品庁に提出していた承認のためのワクチン情報が、昨年12月にサイバー攻撃で、不正アクセスされてしまった。しかも情報が文脈を無視した状態でオンライン上に流出。同庁は「ワクチンの信頼性を損ねかねない」と懸念を表明した。

   こうした状況に各国政府や国際機関は警告や非難声明を出している。事態を重く見た各国のサイバーセキュリティの専門家が立ち上がり、政府機関や司法機関と協力しつつ、医療機関を狙ったサイバー攻撃の手口やサイバーセキュリティ対策の取り方についての情報を無料で提供する枠組みを複数立ち上げた。一部の企業からも、被害を受けた医療機関へのサイバーセキュリティツールやコンサルティングサービスの無料提供が行われている。

　松原氏は医療サプライチェーン関連組織の経営層に対しサイバーセキュリティ強化を訴えた。医療業界では医療ＩＳＡＣ（Information Security and Analysis Centerという情報共有の枠組み）等を通じ、攻撃の手口や対策についての情報共有が進められ、被害の最小化に努めている。