半田病院ランサムウェア事件の経緯と教訓 ━ランサムウェアが本質ではない!?━
森井昌克(神戸大学大学院工学研究科)
深夜,プリンタが勝手に動きだした!
四国でも山深い,徳島県の西部,四国のほぼ中央部に近いつるぎ町にある町立半田病院(図-1).しずまり返った10月末の土曜日深夜(2021年10月31日(日)午前0時30分頃),複数のプリンタから,誰が操作したでもなく,勝手に英語で書かれた印刷物が止めどもなく,用紙がなくなるまで出力される(図-2).ランサムウェアの感染である.この時点で病院内の誰もが事態の深刻さに気付かず,深夜ゆえに気味の悪さにとりつかれながらも,単にコンピュータおよび周辺機器の暴走と考えられた.しかしその後すぐに当直医師から電子カルテの異常が報告され,午前3時にはシステム担当者が緊急事態として駆け付け,すべてのサーバやネットワークを動作チェックした結果,ほとんどが機能せず,この時点(午前8時)で初めてランサムウェアに感染したことが判明した.その後ただちに,徳島県警警察本部に通報するとともに,半田病院が加盟する「阿波あいネット」(徳島県内の病院で,同意を得られた住民の病名・投薬内容・検査結果等の情報を共有するシステム)に報告.午前10時には,事の重大さにおいて,災害と認識し,災害対策本部を発足させ,まず医療提供状況の確認と各種連携の確認を行うとともに,緊急時対応を協議,指示,その後毎日数回の会議を開き,逐次復旧状況を報告,共有することとなる.その後の復旧における進捗状況は公開されている「徳島県つるぎ町立半田病院コンピュータウィルス感染事案有識者会議調査報告書」$${^{1) }}$$の記載に譲ることとするが,診療業務がほぼ感染前までに戻るまでに約2カ月を要している.
なぜ,ランサムウェアの感染を容易に許し,かつ多大な被害を被り,さらには2カ月も復旧に要したのであろうか.半田病院の事案は,特に地方の中小企業の典型と考えられ,一病院の特例と捉えることはできない.
半田病院のランサムウェア感染事案
半田病院の事件以後も,製造業を営む大企業や流通大手,そして中小企業に至るまでランサムウェアの被害が数多く発生している.中でも象徴的な事件としては,トヨタ自動車の主要取引先,いわゆるTier 1(ティア・ワン)企業である小島プレス工業へのサイバー攻撃が挙げられる.小島プレス工業のランサムウェア感染および被害によって,トヨタ自動車の国内すべての工場ラインが丸一日停止するという事態に陥った.従来から危惧されていたサプライチェーンへのサイバー攻撃被害が現実のものとなったのである.
つるぎ町立半田病院のシステムがランサムウェアに感染し,かつ被害を広め,さらに復旧に2カ月を要した原因は,あえて厳しい言葉で表すとサイバー攻撃に対する病院側の無知と病院内のネットワーク構築,運営に関係する複数ベンダのサイバー攻撃およびその対策に対する知識および技術力の欠如である.
病院側としては,特にサイバー攻撃については,この1,2年厚生労働省らの注意喚起とその対策に対する簡単なガイドラインは幾度となく出されていたものの,その理解と具体的な対策に関しては対処できていなかった.病院内のネットワーク関係者だけで対処することは事実上困難であるがゆえである.このような状況は半田病院に限ったことではなく,都市部の大病院を除いて,ほとんどの病院についても同様である.サイバー攻撃やランサムウェアについて,単なる不安はあったとしても,それを理解できず,リスク評価どころか,被害を想定することすらできていなかった.これがほとんどの病院の実情であり,現状である.結果的に,ネットワークやその上で運用するシステム等を納入しているベンダ側に頼ることになり,協力が不可欠となる.しかしながら,ベンダ側,特に地方の場合,実際の保守,運用に携わるのは地方ベンダとなることが往々にしてあり,必ずしも昨今のネットワーク事情に対して,地方ベンダのサイバー攻撃とその対策への知識および技術力はまったく追いついていないのが実情なのである.極端な場合,サイバー攻撃による被害という意識がなく,それ前提とした対策をまったく講じておらず,数十年前のアンチウィルスソフトによる対策から抜け出ていない.今回の半田病院の場合,病院側は「インターネットに接続しておらず外部からサイバー攻撃を受けることはあり得ない」と信じ切っていた.いわゆる「閉域網」の神話である.ベンダ側から,そのように説明を受け,誤って納得していたのである.実際,ベンダはVPN(Virtual Private Network,インターネット回線を利用して構成される仮想のプライベートネットワーク)装置を介して,インターネット経由で外部からリモート接続を行っていた.
半田病院のランサムウェア感染における原因については,このVPN装置の脆弱性が大きく取り上げられた.2年以上にわたって,このVPN装置の脆弱性が放置され,かつその脆弱性が利用され,その固有の認証情報が公開されても,なお放置が続き,ベンダ側はそのVPN装置を利用し続けたのである(しかもそのパスワードとIDは運用者の名前に基づいた6文字という杜撰さ).閉域網という言葉を信じ,脆弱性のあるVPN自体をまったく意識しない病院側に問題はないとは言えないまでも,ネットワークの保守,運用を専門としているベンダ側の対応は十分問題視されるべきである.
ランサムウェアの脅威
ランサムウェア自体は新しいものではない.海外では30年以上前から存在し,国内でも5年ほど前に流行した.当時のランサムウェアは感染するとパソコンやサーバ類のファイルを暗号化して,アクセスできなくするものであった.暗号化を解かなければ必要なデータにアクセスできず,パソコンやサーバが機能しなくなる.暗号を解くためには解読するための鍵が必要になるが,そのカギを質にとって金銭を要求するのである.流行の原因にはインターネットを介して流通する仮想通貨の一般化もある.仮想通貨の登場以前は金銭の要求には銀行を介しての送金,もしくは換金性の高い物品の郵送が必要であった.ネットを介しての取引において,その要求元の追跡を困難にすることは技術的に容易であるが,最終段階の目的である金品の送受で足が付く,すなわち犯罪者が露呈する可能性が高いのである.仮想通貨を使えば犯罪者にとって身元が明かされることなく金品を受け取ることが可能になる.
図-3は四大全国紙(読売,朝日,毎日,産経)において,ランサムウェアをキーワードとする記事の本数をグラフ化したものである.初見は2006年であり海外事例の紹介であった.なお2022年は1月から7月末までの総計であり,約半年ですでに2021年に迫っている.
以前の国内での流行時には不特定多数のパソコンやサーバを標的にしたものが多く,金銭の要求も個人や中小企業が支払い可能な現実的な金額,すなわち数万円から数十万円程度であった.そのランサムウェアに感染した人も多く,データを復元したいがために,仮想通貨で払い込みをした人も少なくなかった.当時,中小企業を対象にしたランサムウェア感染の調査(大阪商工会議所)で回答に応じた315社中,22社が感染し,その中の少なくない数が実際に脅迫に応じ,金銭を支払ったとのことであった.
以前のランサムウェアは感染すると,パソコンやサーバ内のファイルを暗号化し,業務や作業に支障をきたすことが問題であった.現在,その感染によって大きく問題になっているのは,業務の停滞に加え,企業や個人の情報を盗み,それを公開することを質に金銭を要求されることである.ランサムウェアの被害が公になっている企業の大半はこの金銭の要求を拒否している.要求に屈することによって社会的責任や社会的制裁が考えられ,天秤にかけた際に必ずしも得策とならないからである.しかしながら業務の停滞期間や漏えいした可能性のある情報の公開によって多大の損害が考えられ,要求に屈するほうが被害を小さくすると考えられる場合もあり得る.最近,アメリカの石油パイプラインを運営する会社がランサムウェアに感染し,結果的に要求に屈し,5億円の身代金を払ったと言われている.想像するに復旧費用とその復旧までの損失額が5億円をはるかに上回り,非難や信用低下を含めた社会的制裁を十分考慮しても支払いに応じたほうが得策と考えたのであろう.国内と異なり,保険による補償の仕組みも影響している.
ランサムウェアの被害~病院だけでなく中小企業にも~
ランサムウェアについての被害は大企業ばかり報道されているが,先にも述べたように中小企業,さらには個人が感染し,脅迫される可能性は小さくない.小規模な企業や個人の場合,盗み取られた情報を公開されることによって,きわめて大きな損害を被ることは大企業に比べて小さいであろう.要求額にもよるが,事業や作業復旧に要する費用と,復旧までの被害額が大きな問題になってくる.比較した結果,要求額が小さければ支払いに応じる企業や個人もなくはない.
では,やはりランサムウェアに感染した場合,身代金を支払う,つまり要求に屈することは選択肢として残すべきであろうか.これは現実問題として意見の分かれるところであるが,筆者自身は支払うべきではないと考えている.まず第1に,支払ったからと言って必ずしも復旧するとは限らない.第2は,要求に屈することはランサムウェア被害を助長し,いわば犯罪者に資金を与え,その犯罪に加担したことになるからである.また一度支払った組織や個人はその情報が犯罪者たちに共有され,再度サイバー攻撃の対象にもなり得る.実際,二度,三度と被害に遭う企業も稀ではない.
ランサムウェアに感染し,実際に被害に苦しめられている立場で考えると,身代金を払わないとは言えず,いわゆる「綺麗ごと」と考える人もいるであろう.少なくとも安易に要求に屈しないことは絶対に必要である.その理由はランサムウェアに感染し,ファイルが暗号化され,パソコンやサーバで作業ができなくなったとしても,身代金の支払いに応じなくとも復旧できる可能性も存在するからである.しかもその可能性は決して小さくはない.まずは専門家に相談することは必須である.
半田病院の教訓
半田病院においてはランサムウェアの被害とその復旧の困難さによって大きな話題を集めたが,ランサムウェアへの対策,すなわち厳格な不正アクセス対策,マルウェア感染対策,そして危機管理としてのオフラインバックアップ等がまったく不十分であることが大きな問題であった.
半田病院自体の問題点として,ほかにファーストフォレンジックを含む初期対応,マスコミ対応,ネットワーク自体のセキュリティ対策の現状把握等,枚挙にいとまがない.加えて,ネットワークやその上で運用している電子カルテを含む各種システムの保守/運用にあたるシステムベンダについても,セキュリティに対する知識と技術,特に保守すべきシステムの評価,つまりセキュリティ上の問題点を把握する必要があった.システムベンダ側も脆弱性のあるツール類やOS,それを無効化されたアンチウィルスソフトについては把握していたはずである.まさかネットワークを専門としているベンダが閉域網の神話を信じていたとは考えられない.
半田病院の例は中小企業を代表しているといってよい.特に地方における年商が数億円に満たない中小企業にとっては同様の背景があり,必要十分な対策をとるための資産,つまり「カネ,ヒト,知識」が圧倒的に不足している.その背景でのサイバーセキュリティ確保となると現実的には非常に困難であることは否定できない.しかしながら不正アクセス対策はできる,できないの2択ではない.可能な範囲の,そして可能な限りの対策が存在する.
まず第1には,取引のある情報化(IT)にかかわるシステムベンダとの情報交換,コミュニケーションをしっかりとることである.その中でサイバーセキュリティについて一切コメントがなく,見識が疑われるベンダとは縁を切るべきなのである.単なる物品提供会社であったとしてもその品質を保証できないベンダを信頼できるとは思えない.逆にベンダ側にとってサイバーセキュリティは納入先の他人事ではなく,納入物品あるいはシステムの安全を確保するものとして,その知識や技術を必要な限り習得すべきである.
第2には被害を想定すること.たとえばランサムウェアに感染したとして,パソコンやサーバ内のデータが暗号化され,一切使えなくなり,身代金要求があったとして具体的にどのような被害が起こるのかということをあらかじめ想定することである.さらに大事なのは,そのような事態にどのような対処ができるのかを具体化することである.多くの中小企業の最大の問題は「自社が狙われている」という危機感の欠如であり,四国の,それも奥深い山間部の病院が被害に遭ったという教訓は何よりも大きい.
さらに被害を想定するだけではなく,その想定から得られた対策についても実際に演習として実施することである.たとえばランサムウェアに対して,オフラインバックアップの有効性が認められているものの,そのバックアップから復旧への道程が必ずしも単純ではなく,実際には困難を極め,多大な時間を要することが報告されている.必ずしも対策が実効化されるとは限らないのである.
実際に対策を稼働させることによって,その改善を求める手法としてPDCAサイクルが存在する.一般には,
P(lan): 計画を立てる
D(o): 計画を実行する
C(heck):評価する
A(ction):改善する
であり,改善した計画を実行することによって,循環させる業務改善技法である.PDCAはマネジメント手法としてレガシー化しているが,サイバー攻撃に関しては,まず第1にそれを意識し,その被害を想定し,さらに実際に演習を行い,被害復旧を目的とすることから,
P:Procedure(手順)
D:Drill(訓練)
C:Consideration(考察)
A:Ameliorate(改善)
とした新たなPDCAの理解と実践が必要と考えられる.特にAmeliorateは改善(improve)よりも程度は弱く,医学的には症状を和らげるという意味であり,Procedure(手順)が効率良く運ぶようにするという意味である.
参考文献
1)徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書について(2022年6月7日),https://www.handa-hospital.jp/topics/2022/0616/index.html
■森井昌克
1989年阪大大学院工学研究科博士後期課程通信工学専攻修了,工博.同年,京都工繊大助手.愛媛大助教授,徳島大教授を経て,現在神戸大学大学院工学研究科教授.情報理論,サイバーセキュリティが専門.電子情報通信学会フェロー.
(2022年9月5日受付)
(2022年9月21日note公開)