【2024年最新】ランサムウエア被害事例に学ぶ

ランサムウェア攻撃は企業にとって最悪のシナリオです。
重要なデータが暗号化され、身代金を要求されるこの手口は、ビジネスの存続さえ脅かしかねません。しかし、ランサムウェア被害に学ぶことは多くあります。

半田病院を思い出せ

ランサムウェア攻撃は、半田病院の例が有名です。
つるぎ町立半田病院は徳島県にあるごくどこにでもある病院でした。
しかし、2021年10月31日にサイバー攻撃（ランサムウエア）に遭い、患者の電子カルテの閲覧ができず会計もできなくなり、通常の診療再開までに約2か月もかかりました。

医療機関にとって、ランサムウェア攻撃の影響はとてつもないものがありますし、これはどの業界にも突然起こることになります。

被害者ながら加害者

ランサムウェアは外部からの攻撃で始まります。半田病院はその被害者ですが、十分なランサムウェア対策を講じていなかったことで、社会的には加害者の立場にもなってしまいました。

ランサムウェア感染後、病院はシステムの修復に専念せざるを得ませんでした。しかし、その間に多くの患者さんが適切な医療を受けられない状況に置かれてしまい、重症の方からは致命的な影響を及ぼしかねませんでした。

システム修復にも時間がかかり、患者さんの不安は募るばかり。一部では別の医療機関への転院を余儀なくされた例も見受けられました。半田病院はランサムウェア攻撃の被害者でしたが、同時にサービス提供ができなくなった医療機関としても、二次的な加害者の立場に置かれてしまったのです。

医療のように人命に直結する分野では特に、ランサムウェア対策は重要不可欠です。集中攻撃を受けるリスクも高く、感染すれば多大な被害に及ぶ可能性があります。

ランサムウエア被害の現状

ランサム上の被害の現状はどうなっているのでしょうか。
これは調べる媒体でまちまちです。

警察庁

警察庁によると、令和5年上半期は105件でした。
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R05_kami_cyber_jousei.pdf

令和５年上半期におけるランサムウェアによる被害件数は103件（前年同 期比で9.6％減少）であり、引き続き高い水準で推移している。

令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について

トレンドマイクロ

トレンドマイクロによると2023年上半期は37件だったそうです。

https://www.trendmicro.com/ja_jp/jp-security/23/i/ransomware-trends-evolutions-2023.html

図　国内組織が公表したランサムウェア被害件数推移（海外拠点での被害も含む）（公表内容を元に整理）

とにかく、年々上昇傾向でありやはり被害が拡大しているということは共通しています。

ランサムウエア被害から学ぶべき教訓

このランサムウエアの被害からどういうことを学べるでしょうか。

一つの例ですが、2022年10月31日に起きた大阪急性期・総合医療センターの例を分析してみましょう。
この例は、調査委員会の発表がされており、どのようにランサムウエア被害が起こったかが詳細に記載されています。

https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf

概要は以下の通りです。

被害概要
基幹システムサーバーの大半と約2,200台のPC端末がランサムウェアに感染し暗号化された。全てのシステムをクリーンインストールする必要があった。
電子カルテシステムが使用できなくなったため、長期に渡り診療制限を余儀なくされた。

基幹システムの復旧に43日、全診療システムの完全復旧には73日を要した。
被害額は調査・復旧費用で数億円以上、診療制限による逸失利益は10億円超と見込まれている。

侵入経路
1.給食事業者のVPN機器の脆弱性を突いて侵入給食事業者内のデータセンターに不正アクセスし、病院のサーバー情報を窃取
2.病院給食サーバーに侵入し、ウイルス対策ソフトを無効化
3.給食サーバーから他のサーバー情報を窃取
4.窃取した情報で電子カルテなどの基幹システムに侵入
5.サーバーを経由してクライアントへのログオン試行
6.サーバー内でランサムウェアに感染、永続化

影響
電子カルテを含む主要システムのサーバーがランサムウェアに暗号化され、診療制限を余儀なくされた。約2,200台のPC端末にも不正アクセスの痕跡が残されていた。復旧作業に約43日を要し、全診療システムが完全に復旧するまでには73日を要した。11月の診療実績は前年比約半分以下に落ち込み、被害額は数億円以上になると見込まれている。

大阪急性期・総合医療センター 情報セキュリティインシデント調査報告書 概要 2023.3.28 調査委員会

非常に残念なのが、病院自体からの侵入ではなく給食事業者からの感染だったということです。

被害を防ぐための具体的な対策

・ネットワークの分離・隔離: 攻撃者が給食事業者のVPN機器の脆弱性を突いて病院のネットワークに侵入したことから、外部とのネットワーク接続は最小限にし、必要な場合は厳格な認証や暗号化を行うことが重要です。また、病院内のネットワークも基幹システムや部門システムなどの役割ごとに分離・隔離し、不正な通信を検知・遮断できるようにすることが必要です。

• アカウント管理の強化: 攻撃者が病院内のサーバーや端末の認証情報を窃取して攻撃を拡大したことから、アカウントのIDやパスワードは複雑でランダムなものにし、定期的に変更することが必要です。また、管理者権限を持つアカウントは必要最小限にし、不要なアカウントは削除することが必要です。

• ウイルス対策ソフトの導入・更新: 攻撃者がウイルス対策ソフトをアンインストールしてランサムウェアを感染させたことから、ウイルス対策ソフトは常に最新の状態に保ち、アンインストールや停止を防ぐ仕組みを設けることが必要です。また、ウイルス対策ソフトだけでなく、OSやアプリケーションなどのソフトウェアも定期的に更新し、脆弱性を修正することが必要です。

• バックアップの実施・確認: ランサムウェアによってデータが暗号化された場合、バックアップから復旧することができます。しかし、バックアップは定期的に実施し、正常に作成されていることを確認することが必要です。また、バックアップはオフラインで保管し、攻撃者によって改ざんや削除されないようにすることが必要です。

万が一被害を受けた場合の対処方法

まずは定期的なデータのバックアップが重要になります。万が一の際も、バックアップから過去のデータを復元できれば、被害を最小限に食い止められます。

ただし、無尽蔵にバックアップを取れる訳ではありません。ストレージ容量には限りがあるので、バックアップ対象とデータ保持期間をあらかじめ明確に定めましょう。

まとめ

ランサムウェア攻撃は、もはや企業が直面する最大の脅威の一つとなっています。半田病院や大阪急性期・総合医療センターでの深刻な被害は、私たちに厳しい現実を突きつけています。

「まさか自分の会社が」と思ってはいけません。被害に遭っていないのは単に"たまたま"にすぎません。いつ攻撃が来てもおかしくありません。被害に遭う前提で、万全の対策を講じる必要があるのです。

ランサムウェアの標的になれば、重要データが暗号化され、事業継続すら危ぶまれかねません。被害を最小限に抑えるには、バックアップ体制の整備はもちろん、マルチレイヤー防御、従業員教育など、多角的なアプローチが不可欠となります。

対策は、日々進化するランサムウェアの脅威に合わせて、常に最新のものでなければなりません。セキュリティ対策が後手に回れば、被害は甚大化するおそれがあります。被害に遭う前に、しっかりとした備えをする。これがサイバーセキュリティの鉄則なのです。

今この瞬間から、万全のランサムウェア対策を講じましょう。そうすれば、高まる脅威に備え、事業の安全を守ることができるはずです。