昨今、企業などだけでなく、個人を狙ったサイバー攻撃が社会問題化している。サイバー攻撃の実態や対策を取材した。
■数万人分のカルテが閲覧不可能に…病院もランサムウェアの攻撃対象に
愛知県春日井市の「春日井リハビリテーション病院」は2022年1月、深夜に電子カルテのサーバーがウイルスによって暗号化され、数万人分の患者のデータが突然見られなくなった。
【画像で見る】「お客様、頭が無いんですか」と罵倒も…犯行グループは“週休2日”と普通に求人
そして、英語の脅迫文が表示された。
<脅迫文の内容>
「ネットワークとパソコン内すべてのファイルなどがハッキングされて暗号化されました」
「重要なファイルの一部を出力し、流出させる準備が整っています」
「情報漏洩を防止、復元化したいのなら、お金を支払うべき」
暗号化されたファイルの「身代金」を要求してくるコンピューターウイルス、「ランサムウェア」だ。
入退院の患者も多く、診察や治療も止められない。病院側は、紙のカルテをイチから作ることを余儀なくされた。
総務課の担当者:
「そこに紙のカルテを用意していまして、この棚も急遽スタッフが段ボールで作って…」
看護師長:
「イチからカルテを作っていかなきゃいけなかったので、それが大変でした。ただやらなければいけないので、患者さんは生きていらっしゃるし、今その治療だったり、何か必要だっていうことがあるので、こっちができないということは言えない」
スタッフ一丸となっての対応で、幸い患者らに大きな影響はなく済んだという。今回、身代金の金額は具体的に書かれていなかったが、病院側は警察や専門業者に相談。要求には応じず新たなシステムを導入したが、その費用は7000万円以上にもなった。
完全な復旧までかかった月日は5か月。これまでに病院のデータが流出した形跡はなく、警察が捜査している。
■子会社の脆弱性を突かれ世界的巨大企業も被害に…奪われたデータは「ダークウェブ」で売り買いも
急増する「ランサムウェア」による被害。2022年2月には、トヨタ自動車の部品の仕入れ先「小島プレス工業」も被害に遭った。
<脅迫の文章>
「3日以内に連絡しなければ、データを公開する」
小島プレスによると、子会社が利用していた機器の脆弱性を突かれ、ランサムウェアに感染。これにより部品の供給がストップ。
トヨタも国内の全工場の稼働を一時停止する事態に追い込まれた。
■ランサムウェア使用者の目的はハッキリ「お金を得たい」
様々なものがインターネットで繋がる現代。ランサムウェアの脅威は、社会全体に広がっている。ランサムウェアの検知技術に関する特許を国内外で複数取得している専門家は…。
サイバー攻撃に詳しい吉川孝志(よしかわたかし)さん:
「これは実際の攻撃の氷山の一角なので。特別な、例えば医療とか自動車系が多いとか、そういうのは全然なくて、あらゆる業種が対象になっているというところは言えます」
吉川さんによると、ランサムウェアは2015年ごろに出始め、データが流出する被害に遭った企業などの数は、2022年7月までの1年間に世界で約3000件。中には身代金として、4億8000万円を要求されたケースもあったという。
吉川さん:
「ランサムウェアを使っている攻撃者は、目的がハッキリしていまして、嫌がらせとか能力を誇示したいわけじゃなくて、あくまでもお金を得たいと、金銭を得たいというところがポイントになります」
■広報や人事も…「週休2日」「8時間労働」などの条件提示しリクルートするグループも
これは流出した資料から明らかになったという、あるランサムウェア攻撃グループの組織図だ。リーダーをトップに、広報や人事などにグループ化。実働部隊では、対象の調査部門や実際に攻撃する部門など、役割が詳細に分かれている。さらに「週休2日」「8時間労働」などの条件を提示してリクルートするなど、まるで一般企業のようだという。
吉川さん:
「基本的には攻撃グループであることは伏せて採用していって、最終的に採用された人の中にも、自分がランサムウェアの攻撃グループで働いていることに気づいていない人たちもいるんです」
組織化された攻撃グループが奪い取ったデータを扱うのが、「ダークウェブ」だ。
一見、普通のサイトに見えるが、一般的には閲覧できなくなっている。
吉川さん:
「例えばこのサイトですと、ドラッグですとか、銃とか、盗まれたパスポートとか、盗まれたクレジットカードが売られている。銃弾ですとかマシンガン、そういったものを、普通のインターネットショッピングのような形で販売されている」
また、ランサムウェア攻撃グループのサイトでは、被害にあった組織名をクリックすると、制限時間のカウントダウンが行われているという。
吉川さん:
「これがゼロになると下の方にダウンロードリンクが出現しまして、誰でもダウンロードできる状態になってしまう。公開されるデータの中に、被害組織の従業員の給与明細とか、個人情報とか、写真とか、そういったものがけっこう入っていたりするケースがありまして、かなり恐ろしいものですね」
■「お客様バカですか?」個人も攻撃対象…今のところ「多要素認証」での自衛が効果的
個人を狙うサイバー攻撃も増えている。東京に住む80代の男性は2021年、自宅のパソコンが突然動かなくなり、マイクロソフト社の名前で「ウイルスに感染した」「サポートセンターに連絡を」などのメッセージが表示された。
被害に遭った男性(80代):
「WARNING!みたいなポップが出てきちゃって。連絡してくださいみたいな表示が出たものですから、電話しちゃったんですね。そこが大間違いだったんですけども…」
慌てて連絡すると、ウイルス除去のための費用を電子マネーで支払うよう求められた。
被害に遭った男性(80代):
「電話してですね、最初、正式な女性の声で出てくるんですよ、マイクロソフトだと。マイクロソフトであればそういうことをやってくれると思っちゃったんですね」
結局、男性は5回にわたり、合わせて20万円をだまし取られた。ウイルスの除去のサポートをかたる「サポート詐欺」だ。
実際の電話口でのやり取りはどのようなものなのか。セキュリティ会社が収録した別のケースでは、こんな要求も…。
調査員:
「もしもし、画面にエラー表示が出て」
電話口の女性:
「あーわかりました。ダウンロード開始押したらいいです。“はい”を押したらいいです」
女性は、日本語が明らかに怪しい。
調査員:
「これってちゃんとしたアプリですか?サポート詐欺とか、そういうものではないですか?」
女性:
「いえいえ、ないですね」
調査員:
「これ、最後はどういったことをしてもらえるのですか?ダウンロードした後…」
女性:
「お客様!遠隔操作です!問題を解決するために遠隔操作が必要なんです!」
調査員:
「これ、他に直してもらえる方法ないんですか?」
女性:
「お客様!私の時間を無駄にしないで下さい!信じられない場合は電話切った方がいいです!パソコンをゴミ箱に捨てて下さい!私は何回も何回もご説明しています。お客様バカですか?頭がないんですか?」
罵倒までして仕向けるアプリのダウンロード。実はこのアプリなどが、ランサムウェアなど他のサイバー攻撃の「入口」になるとともに、リモートワークの普及でその被害が拡大する危険性が高まっていると専門家は指摘する。
吉川さん:
「リモートワークとかで多様な働き方がある中で、自宅で使用する個人のパソコンの感染が、回り回って、自分が働いている会社とか家族が働いている会社の重要なファイルが暗号化されたり、漏洩してしまう可能性につながる。『踏み台』にされたり、『侵入口』に悪用される可能性がある」
意図せずにサイバー攻撃を助長してしまう。そうならないために、対策と「知ること」が重要だという。
吉川さん:
「安易なパスワードにしないとか、認証情報を使い回さないというのは大事です。こういったサイバー攻撃を知ること。脅威とか手口を知ることは、一般の方にとっては一番大きい対策になるのかなと思っています」
注目されているのは「多要素認証」だ。例えば、IDやパスワードを入力した後、さらにSMSで送られたコードを入力するなど、複数の要素で認証する方法で、吉川さんによると、ランサムウェアの攻撃グループは、この多要素認証が導入されていると諦めるというケースが多いという。
また個人ですべきサイバー攻撃への対策について、吉川さんは3つのポイントを挙げている。
・怪しいサイトやメールのファイルは開かない。
・セキュリティソフトやOSなどは最新の状態にアップデート
・安易なパスワードを使わない
いずれもよく耳にする基本的なことだが、こうした複合的な対策が重要だと指摘している。