コンピュータウイルスなどによるサイバー攻撃が世界各地で相次ぎ、セキュリティ対策の需要が増している。新型コロナウイルスの感染拡大を背景にオンライン会議やテレワークが増加する中、総務省によると、2021年のサイバー攻撃の数はコロナ禍前の10年に比べて3倍に増加したそうだ。

大企業は大金を投資して被害を事前に防ぐことも可能だが、そこまでの資金を投入できる中小企業はほとんどない。そこで本連載では、資金力に乏しい中小企業がサイバー攻撃を回避するためにどんな対策を取るべきなのか、実例を交えて解説する。4回目はランサムウェア(身代金要求型ウィルス)に攻撃された埼玉県の病院の事例を紹介する。

  • 埼玉県の小規模な病院でランサムウェアの被害が発生した

    埼玉県の小規模な病院でランサムウェアの被害が発生した

「あなたのファイルは盗まれました」

「あなたのファイルはすべて盗まれ、暗号化されました」。2022年10月、埼玉県大宮市の岡田病院(仮名)のパソコンに、突然、英文の脅迫が入った画面が表示されました。サーバに格納されていたCT画像など患者情報が開けなくなり、「ファイルを復元するためにはお金が必要です」と身代金を要求してきたのです。これは、ランサムウェアの典型的なパターンです。「大変なことになった」「どうしたらいいのか」と、従業員20人の岡田病院は大騒ぎになりました。

感染の原因は、従業員が取引先の名前をかたった「なりすましメール」のファイルを開いてしまったことでした。「送り主は知っている人だから大丈夫だろう」と思ってファイルを開いて保存したところ、自動的にデータの暗号化が始まり、パソコンのデスクトップ画面にある既存のアイコンが変化しました。ファイルのデータは何度クリックしても開けず、データを見ることもできなくなりました。

「このままでは業務の支障になるどころか、患者の情報が流出してしまうかもしれない」と考えた岡田病院の院長は、専門の業者に依頼してデータ復旧や調査をしてもらうことにしました。復旧までの数週間はサーバが使えないうえ、被害の確認などに忙殺され、休診せざるを得ませんでした。業者がなんとかデータを復旧して原因を調べたところ、「Lockbit(ロックビット)」という悪質なランサムウェアが関与していたことが判明しました。

名古屋港の搬出入作業を止めたLockbit

Lockbitは標的のシステムに侵入した後、データを暗号化して身代金を要求します。他のランサムウェアに比べてデータ暗号化の速度が非常に速いのが特徴です。運営しているとみられるサイバー犯罪組織は、その被害の多さから「世界最悪のサイバー攻撃集団」とも言われています。

このLockbitによって大きな混乱を招いてしまったのが、名古屋港の例です。名古屋港運協会(名古屋市)は2023年7月に、名古屋港内のコンテナターミナルを管理するシステムで障害が発生したと発表。トレーラーによるコンテナの搬出入作業を中止しました。Lockbitに感染し、前日夕方から名古屋港統一ターミナルシステムに障害が発生していたそうです。

Lockbitによる被害は国内外で広がっています。日本企業でも、医療機関のほか、大手衣料チェーン、大手メーカーのタイ販売会社などでLockbitが関与したとされている被害が発生しています。岡田病院は、まさかこうした悪質なサイバー犯罪組織に自分たちのような小さな医療機関が狙われるとは思っていませんでした。しかし、Lockbitは病院などの重要インフラを狙うとも言われており、もともと高いリスクがあったと言えるでしょう。

  • Lockbit感染の影響で港の作業が止まった例も

    Lockbit感染の影響で港の作業が止まった例も

リモートワーク中も安全にネット接続できるよう対処

岡田病院からサクサの販売店にサイバーセキュリティ対策について相談があったのは、この事件から1カ月ほど後のことです。相談は「今後ランサムウェアに感染しないためにはどうしたら良いのか」という内容でした。

病院に聞き取り調査をしたところ、岡田病院のパソコンはセキュリティソフトを入れていました。しかし、今回のなりすましメールの添付ファイルは暗号化されており、検疫できないようになっていたのです。そのため、ランサムウェアがセキュリティソフトをすり抜け、感染につながったのです。

さらに詳しく調べると、この病院ではリモートワークの従業員が多いことも分かりました。リモートワークの場合、ランサムウェアやコンピュータウイルスの被害を受けるリスクが高まります。それらの侵入経路の一つに「VPN(仮想私設網)からの侵入」があるからです。

VPNとは「Virtual Private Network」の略で、インターネット上の拠点間を仮想的な専用線で通信する技術のことです。専用線を敷設するよりも導入コストが安いのが特徴で、リモートワークの拡大に伴ってVPNを使う企業は増えています。一方で脆弱なVPNへの侵入を狙うサイバー攻撃も急増しているのです。

サクサはこうした事態を受けて、まず統合脅威管理(UTM)を岡田病院に導入し、リスクの軽減を図りました。その上で病院の担当者と相談し、UTMの「リモートコネクト」という機能を使ってリモートワーク時のセキュリティも強化しました。リモートコネクトを使えば、リモート環境でも外部のパソコンのすべての通信は強制的に病院内のUTMを経由することになります。

パソコンの通信が直接ネット接続されないため、安全な環境が維持できるのです。これらの対策により、岡田病院ではその後サイバー攻撃による問題は起こっていません。

  • リモートコネクトの仕組み

    リモートコネクトの仕組み

サイバー攻撃者に狙われる医療機関、適切な対策を

岡田病院に限らず、徳島県や大阪府の病院など、サイバー攻撃を受ける病院の事例は相次いでいます。電子カルテをはじめとする医療データがすべて利用できなくなり、長期間の診療停止を余儀なくされた医療機関もあります。人の命を預かる医療機関は信頼が第一。こうした問題がたびたび発生するようであれば、運営に支障があるどころか、閉鎖に追い込まれかねません。

医療機関のサイバー攻撃対策の遅れを憂慮したのか、厚生労働省は2023年に「医療機関におけるサイバーセキュリティ対策チェックリスト」を公表。対策を適切に実施することを求めました。小規模な医療機関はランサムウェアやコンピュータウイルスなどへの対策が不十分な場合が多く、厚生労働省の要請を受けて自らの脆弱性に気づくことも多いようです。

サクサの販売店でも、病院関係者から「知り合いが運営する医療機関のパソコンがランサムウェアに感染した」「当社のセキュリティが脆弱だから何とかしてほしい」といった相談が増えています。感染事例が増えるにつれ、医療機関の経営者の危機意識も高まってきているようです。ただし、生兵法は大けがのもと。適切な対策を取るためには、専門家に相談することをおすすめします。

(編集協力 P&Rコンサルティング)

※編集注:本稿は取材した実例に基づきますが、一部仮名や事実とは異なる描写が含まれます

佐々木 巧馬

佐々木 巧馬

ささきたくま

サクサ株式会社 マーケティングイノベーション本部 事業企画部 セキュリティエバンジェリスト
1986年生まれ、青森県出身。八戸工業大学を卒業後、新卒でサクサシステムエンジニアリングに入社し、ビジネスホンなどの開発業務に従事する。フィールドエンジニア業務にも携わり、中小企業における情報セキュリティの実態について見分を深める。2020年サクサに転籍しマーケティング・企画部門にて、現場経験を生かしたセキュリティ製品全般の企画を行う。

この著者の記事一覧はこちら