昨今、企業などだけでなく、個人を狙ったサイバー攻撃が社会問題化している。サイバー攻撃の実態や対策を取材した。

数万人分のカルテが閲覧不可能 病院も攻撃対象に

この記事の画像(23枚)

愛知県春日井市の「春日井リハビリテーション病院」は2022年1月、深夜に電子カルテのサーバーがウイルスによって暗号化され、数万人分の患者のデータが突然見られなくなった。

そして、英語の脅迫文が表示された。

【脅迫文の内容】
「ネットワークとパソコン内すべてのファイルなどがハッキングされて暗号化されました」
「重要なファイルの一部を出力し、流出させる準備が整っています」
「情報漏洩を防止、復元化したいのなら、お金を支払うべき」

暗号化されたファイルの”身代金”を要求してくるコンピューターウイルス「ランサムウェア」だ。

入退院の患者も多く、診察や治療も止められない。病院側は紙のカルテを一から作ることを余儀なくされた。

総務課の担当者:
そこに紙のカルテを用意していまして。この棚も急遽、スタッフが段ボールで作って…

看護師長:
一からカルテを作っていかなきゃいけなかったので、それが大変でした。患者さんは生きていらっしゃるし、その治療だったり、何か必要だっていうことがあるので、こっちができないということは言えない

スタッフ一丸となっての対応で、幸い患者らに大きな影響はなく済んだという。今回、身代金の金額は具体的に書かれていなかったが、病院側は警察や専門業者に相談。要求には応じず新たなシステムを導入したが、その費用は7000万円以上にもなった。

完全な復旧までかかった月日は5カ月。これまでに病院のデータが流出した形跡はなく、警察が捜査している。

子会社の脆弱性を突かれ…奪われたデータは売り買いも

急増するランサムウェアによる被害。2022年2月には、トヨタ自動車の部品の仕入れ先「小島プレス工業」も被害に遭った。

脅迫文の内容は「3日以内に連絡しなければ、データを公開する」というものだった。

小島プレスによると、子会社が利用していた機器の脆弱性を突かれ、ランサムウェアに感染。これにより部品の供給がストップ。

トヨタも国内の全工場の稼働を一時停止する事態に追い込まれた。

「お金を得たい」ランサムウェア使用者の目的は明確

様々なものがインターネットで繋がる現代。ランサムウェアの脅威は、社会全体に広がっている。ランサムウェアの検知技術に関する特許を国内外で複数取得している専門家に話を聞いた。

サイバー攻撃に詳しい 吉川孝志さん:
これは実際の攻撃の氷山の一角なので。特別な、例えば医療とか自動車系が多いとか、そういうのは全然なくて、あらゆる業種が対象になっている

吉川さんによるとランサムウェアは2015年ごろに出始め、データが流出する被害に遭った企業などの数は、2022年7月までの1年間に世界で約3000件。中には身代金として4億8000万円を要求されたケースもあったという。

吉川孝志さん:
ランサムウェアを使っている攻撃者は目的がハッキリしている。嫌がらせとか能力を誇示したいわけじゃなくて、あくまでもお金を得たい、金銭を得たいというところがポイントになります

「週休2日」「8時間労働」など条件提示し、求人するグループも

これは流出した資料から明らかになったという、あるランサムウェア攻撃グループの組織図だ。

リーダーをトップに、広報や人事などにグループ化。実働部隊では、対象の調査部門や実際に攻撃する部門など、役割が詳細に分かれている。さらに「週休2日」「8時間労働」などの条件を提示してリクルートするなど、まるで一般企業のようだという。

リーダーをトップに広報や人事などにグループ化。実働部隊も役割が詳細に分かれている
リーダーをトップに広報や人事などにグループ化。実働部隊も役割が詳細に分かれている

吉川孝志さん:
基本的には攻撃グループであることは伏せて採用していって、最終的に採用された人の中にも、自分がランサムウェアの攻撃グループで働いていることに気づいていない人たちもいるんです

組織化された攻撃グループが奪い取ったデータを扱うのが、「ダークウェブ」だ。

一見すると普通のサイトに見えるが、一般的には閲覧できなくなっている。

吉川孝志さん:
例えばこのサイトですと、ドラッグや銃、盗まれたパスポートや盗まれたクレジットカードが売られている。銃弾やマシンガンといったものが、普通のインターネットショッピングのような形で販売されている

ドラッグや銃、盗まれたパスポートなどが販売される「ダークウェブ」のサイト
ドラッグや銃、盗まれたパスポートなどが販売される「ダークウェブ」のサイト

またランサムウェア攻撃グループのサイトでは、被害にあった組織名をクリックすると、制限時間のカウントダウンが行われているという。

吉川孝志さん:
これがゼロになると下の方にダウンロードリンクが出現して、誰でもダウンロードできる状態になってしまう。公開されるデータの中に、被害組織の従業員の給与明細とか個人情報、写真といったものが入っているケースがありまして、かなり恐ろしいものですね

個人も攻撃対象 「多要素認証」での自衛が効果的

個人を狙うサイバー攻撃も増えている。東京に住む80代の男性は2021年、自宅のパソコンが突然動かなくなり、マイクロソフト社の名前で「ウイルスに感染した」「サポートセンターに連絡を」などのメッセージが表示された。

自宅のパソコンが突然動かなくなり、マイクロソフト社の名前でメッセージが表示された
自宅のパソコンが突然動かなくなり、マイクロソフト社の名前でメッセージが表示された

被害に遭った男性(80代):
WARNING!みたいなポップが出てきちゃって。連絡してくださいみたいな表示が出たものですから、電話しちゃったんですね。そこが大間違いだったんですけども…

慌てて連絡すると、ウイルス除去のための費用を電子マネーで支払うよう求められた。

被害に遭った男性(80代):
電話してですね、最初、正式な女性の声で出てくるんですよ、マイクロソフトだと。マイクロソフトであればそういうことをやってくれると思っちゃったんですね

結局、男性は5回にわたり、合わせて20万円をだまし取られた。ウイルスの除去のサポートをかたる「サポート詐欺」だ。

実際の電話口でのやり取りはどのようなものなのか。セキュリティ会社が収録した別のケースでは、こんな要求も…。

調査員:
もしもし、画面にエラー表示が出て

電話口の女性:
あーわかりました。ダウンロード開始押したらいいです。“はい”を押したらいいです

女性は、日本語が明らかに怪しい。

調査員:
これってちゃんとしたアプリですか?サポート詐欺とか、そういうものではないですか?

女性:
いえいえ、ないですね

調査員:
これ、最後はどういったことをしてもらえるのですか?ダウンロードした後…

女性:
お客さま!遠隔操作です!問題を解決するために遠隔操作が必要なんです!

調査員:
これ、他に直してもらえる方法ないんですか?

女性:
お客さま!私の時間を無駄にしないで下さい!信じられない場合は電話切った方がいいです!パソコンをゴミ箱に捨てて下さい!私は何回も何回もご説明しています。お客さまバカですか?頭がないんですか?

罵倒までして仕向けるアプリのダウンロード。実はこのアプリなどが、ランサムウェアなど他のサイバー攻撃の「入口」になるとともに、リモートワークの普及でその被害が拡大する危険性が高まっていると専門家は指摘する。

吉川孝志さん:
リモートワークなど多様な働き方がある中で、自宅で使用する個人のパソコンの感染が、回り回って自分が働いている会社や家族が働いている会社の重要なファイルが暗号化されたり、漏洩してしまう可能性につながる。踏み台にされたり、侵入口に悪用される可能性がある

意図せずにサイバー攻撃を助長してしまう。そうならないために、対策と「知ること」が重要だという。

吉川孝志さん:
安易なパスワードにしないとか、認証情報を使い回さないというのは大事です。こういったサイバー攻撃を知ること、脅威や手口を知ることは、一般の方にとっては一番大きい対策になるのかなと思っています

注目されているのは「多要素認証」だ。例えば、IDやパスワードを入力した後、さらにSMSで送られたコードを入力するなど複数の要素で認証する方法で、吉川さんによるとランサムウェアの攻撃グループは、この多要素認証が導入されていると諦めるというケースが多いという。

個人ですべきサイバー攻撃への対策について、吉川さんは次の3つのポイントを挙げている。

(1)怪しいサイトやメールのファイルは開かない
(2)セキュリティソフトやOSなどは最新の状態にアップデート
(3)安易なパスワードを使わない

いずれもよく耳にする基本的なことだが、こうした複合的な対策が重要だと指摘している。

(東海テレビ)