悪質!ロンドン病院を襲ったランサムウェア「Qilin」
はい、こんにちは!松井真也です。
国内外でランサムウェアが猛威をふるっています。Kadokawaもランサムウェア攻撃による被害に直面していますね(いち早く復旧することを祈ります)。
そのランラムウェアには、いろんな種類のOpearatorという開発・運営者がいるわけですが、今回は、2024年6月上旬、ロンドンの病院を襲った「Qilin」についてご紹介します。組織のなかでも患者の命を預かっている病院を狙うとは、ますます許せません。このQilinがどんなランラムウェアなのか知っておきましょう。
Qilinとは何か?
ランサムウェア「Qilin」(キリン)は、ランサムウェア・アズ・ア・サービス(RaaS)を提供する犯罪組織といわれています(RaaSは、Operator(運営者)とAffiliate(提携者)が役割分担して身代金の成果を分配するモデルです。)
2022年に初めて登場し、主に企業や医療、教育セクターをターゲットにしています。このランサムウェアもやはり、システムに侵入し、データを暗号化することでアクセスを不能にします。さらに、暗号化されたデータを公開する脅しをかけて、被害者から金銭を要求します。いわゆる「二重脅迫」です。
この方法により、被害者はデータの回復と機密保護のために身代金を支払わざるを得ない状況に追い込まれます。
ロンドンの病院を襲った最近の攻撃事例
2024年6月、ロンドンの主要なNHS病院がQilinの攻撃を受け、サービスが停止しました。
病理検査サービス(診療に必要な検査と分析をするサービス)を提供する「Synnovis」のシステムが暗号化され、病院の病理サービスが中断されました。この結果、緊急でない患者のケアは延期され、血液検査を必要とする手術が他の病院に移される事態となりました。
病院への攻撃は命に直結します。先日紹介したTrendo Micro社の「Data Center Attack」というトレーニングゲームでは、病院がランサムウェアに襲われる設定でした。実際にゲーム中のような惨劇が起こったらと思うとぞっとします…。
Qilinの攻撃手法
私は技術的なことはではあまり詳しく分からないのですが、Qilinは、プログラミング言語Rustで作られ、回避能力が高く、カスタマイズもしやすく、解読も困難なのでだそうです。。
Qilinの攻撃は、主にフィッシングメールの添付ファイルとして悪意のあるリンクを送信することで行われます。
ユーザーがリンクをクリックすると、ランサムウェアを含むマルウェアがシステムに侵入し、データを暗号化します。
一般にランサムウエアの初期侵入経路としては、VPNゲートウェイやRDPなどが多いのですが、Qilinは少し違うのかもしれませんね。
なぜ医療機関が狙われるのか?
それにしても、よりによって医療機関がなぜ攻撃に会うのでしょうか?
それは、実際のところ、医療機関がサイバー犯罪者にとって非常に魅力的なターゲットであるからです。
医療機関は、
医学的に価値あるデータを保有している。
医療情報という最重要の個人情報も保有している。
複雑なわりに、セキュリティが脆弱になりがちなシステムを運用している。
業務の停止が患者の命に直結する。
という特徴があります。こうなりますと、医療機関は迅速に対応せざるを得ず、身代金を支払う可能性が高くなるというわけです。
Qilinから身を守るための対策
さて最後に、Qilinに限った話ではないのですが、ランサムウェアから身を守る方法を改めて整理します。
次の通りです。
バックアップ(特にオフサイト)を作成し、定期的に更新すること。
最新のセキュリティパッチを適用すること。
ネットワークのセグメント化(マイクロセグメンテーションといいます!)により、攻撃の横展開を防止すること。
複雑でユニークなパスワードと多要素認証を使用すること。
機能や権限を最小限に抑え、攻撃面(アタックサーフェス)を減少させること。
社員にサイバー犯罪のリスクと対策を教育すること。
Qilinは、特にフィッシングメールを使って侵入することが多いようですから、最後の「社員教育」が効きます!
これらの対策を講じることで、組織はランサムウェアの攻撃から自らを守り、被害を最小限に抑えることができるはずです。
ということで、今回は「Qilin」のお話でした。
※次の文献をおおいに参考にしました。
この記事が気に入ったらサポートをしてみませんか?