見えてきた! 海外から国内医療機関を狙うサイバー攻撃者集団の「横顔」

4月19日～21日に東京・ビッグサイトにて開催された「ヘルスケアIT 2017」では、マクニカネットワークス セキュリティ研究センター センター長の政本憲蔵氏が登壇し、セキュリティの見地から講演を行った。

「日本を狙うサイバースパイ活動の実態 ～医療業界を狙った標的型攻撃の実例～」と銘打った同氏のセッションでは、ここ数年で国内にて確認された標的型諜報攻撃について紹介するとともに、そこからうかがうことのできる、攻撃者の狙いや手口などについて解説が行われた。

海外のサイバー攻撃者に狙われる日本の医療機関

開口一番、政本氏は「やはり日本の医療業界はサイバー攻撃者から狙われていると言わざるを得ません。その根拠となる断片をいくつか確認しています」と警鐘を鳴らした。

マクニカネットワークス セキュリティ研究センター センター長の政本憲蔵氏

サイバー攻撃の種類は、大きく3つに分類することができる。その1つは、データ窃取・サイバースパイ・諜報活動であり、2つ目はサイバークライム（犯罪）、そして3つ目はハクティビズムだ。このうち最後のハクティビズムについては、ヘルスケアITにはあまり関わりがないと言える。

また、サイバークライムの代表的なものとしては、昨年より世界中で猛威を振るうランサムウェアが挙げられるだろう。被害者はランサムウェアへの感染により貴重な情報が暗号化され、攻撃者はデータを元に戻すのと引き換えに金銭を要求するといった手口だ。このように、基本的には金銭を得るために行われるのがサイバークライムの特徴となっている。

そして今回、政本氏が特にフォーカスしたのが、1つ目に挙げたデータ窃取・サイバースパイ・諜報活動についてである。この種類のサイバー攻撃については、金銭よりもむしろ情報そのものを狙うことに大きな特徴があり、2015年に発生した日本年金機構の情報漏えい事件もここに含まれる。攻撃者の実態がなかなか見えにくいのもこの攻撃の特徴であるが、政本氏は、「分析を進めていくと、日本以外の国や、そうした国の軍、さらにはそれらから依頼を受けているサイバー攻撃者集団の影が見えてきます」と説明する。

攻撃手法の特徴として、標的型攻撃に見られるようにターゲットを絞ってくる傾向があるという。つまり、ターゲットとなる医療機関にはどのような情報が存在するのかをあらかじめ調べた上で、ピンポイントで攻撃を仕掛けてくるのである。

「このタイプのサイバー攻撃はステルス性が高く、ひっそりと侵入して活動し、ひっそりと情報を盗んでいくため、なかなか気づきにくいのです」(政本氏) 。