ランサムウェア攻撃とは?半田病院の実例から学ぶ

前回は急増するサイバー攻撃の目的や発生理由について解説しました。今回は、近年急増している「ランサムウェア(Ransomware)攻撃」を取り上げます。ここ数年は規模を問わずに多くの企業が攻撃を受けており、ニュースで取り上げられる事例も多くなりました。IPAのレポートでも、2020年から2023年版において継続してNo.1の重大脅威として位置付けられています。

「ランサムウェア攻撃」と聞いて、どのような特徴を想像しますか?昨今のニュースから「データの暗号化」や「身代金の要求」など、事業への影響が大きそうな特徴を思い浮かべる方が多いのではないかと思います。

ランサムウェアの感染方法はさまざまですが、一旦PCやサーバが感染すると、その中のデータが暗号化されてしまいます。そして攻撃者は、そのデータ復旧と引き換えに身代金(Ransom)を要求する、といった流れが一般的です

多くの企業がランサムウェア攻撃を重大な脅威と捉えている背景には、この攻撃がもたらす業務への影響の多大さにあります。前述の攻撃の特徴にあるように、データが暗号化されてしまうことでそれらのデータへのアクセスができなくなり、業務停止などを強いられる場合も少なくありません。

実例として、2021年10月ころにメディアで大きく取り上げられた「つるぎ町立半田病院」は、ランサムウェア感染により電子カルテや会計など全てのシステムがダウンし、過去分も含めて8万5000人分の患者データが暗号化されました。結果として、約2カ月間の通常診断が停止する事態となりました。同院が公開した報告書によると、その攻撃手口は以下の通りです。

(1)攻撃者は半田病院に設置されたVPN装置の脆弱性を悪用して認証情報を窃盗
(2)攻撃者は盗んだ認証情報を用いて、VPN装置を経由して病院内端末への総当たり攻撃を実施し、脆弱なパスワードのPCの乗っ取りに成功
(3)攻撃者は乗っ取ったPCより、横展開が成功した端末およびサーバへのランサムウェア感染に成功
(4)感染した端末やサーバ上のファイルが暗号化され、復号の代わりに金銭を要求

  • サイバーリーズン連載

実例を学んで自組織の対策を確認しよう

先に取り上げた攻撃の事例情報は、多くの組織にとって重要な情報となるはずです。なぜなら、これらの情報に基づいて、自社が同様の攻撃にあった場合に対処できるかどうかを見直すための貴重な情報源となるためです。

自社が同様の手口により攻撃を受けたらどうでしょうか?攻撃の侵入口はしっかり脆弱性対応ができていますか? VPN装置の脆弱性の有無やVPNの認証情報の設定には問題ないでしょうか?そして、インシデントが発生した際の業務への影響や業務の復旧までの順序は事前に把握されていますか?また、ランサムウェア攻撃の特徴である、身代金への対応についての考え方なども検討しているでしょうか?

このように、身近で実際に発生したサイバー攻撃の手口や特徴を収集し、自組織に即した見直しを実施することは、どの組織にもできる重要な攻撃予防の取り組みです。攻撃手法は日々進化していきます。ぜひとも、どの組織においてもこうしたセキュリティ改善の取り組みを継続的に実施することを推奨します。