先日、ある病院のコンピュータが「ランサムウェア」と呼ばれるサイバー攻撃の被害に遭い、診療ができなくなるという事件が起きたと報道されました。

恐らく、一般の方は「ランサムウェア」という言葉自体、ほとんど聞いたことがないでしょう。
今回の事件のタイプを簡単に説明すると、『相手のサーバのデータを勝手に暗号化して、元に戻すための身代金を要求する』というサイバー攻撃です。
暗号化された組織では、それらのデータを正しく読み取ることができなくなるため、そのデータを利用する業務が全て停止します。
今回の事件でも、病院は緊急の手術以外、全ての業務を停止していました。
これは別に安全のためなどではなく、診察カルテのデータなどが一切見れなくなったため、業務停止に追い込まれたものと思われます。

さて、この「ランサムウェア」、私もこの事件がきっかけで、知り合いに聞かれたことがあります。
『これって、身代金払ったら元に戻してもらえるの？』
その時私が回答した言葉はこちら。
『戻してもらえるわけないじゃん』

恐らく、その人を含め、一般の人にとっては『身代金を要求される』という点から、「誘拐事件」のようなイメージを抱かれるのではないかと思います。
「誘拐事件」では、身代金を要求する担保が「人間」ですから、長期間手元に置いておくのはリスクが高いですし、管理も面倒です。
従って、要求した身代金を入手出来たら、さっさと解放したほうが犯人にとってもメリットが多くなります。

一方で、「ランサムウェア」の場合、身代金の担保である「暗号化されたデータ」は、被害者のサーバに保管されています。
犯人にとっては、データを保管するコストもかかりませんし、身代金を要求するだけなら、データにアクセスする必要すらないため、新たに足がつくリスクもありません。
つまり、『データを元に戻す』という行為に何のメリットもありません。
従って、一般的な「ランサムウェア」の攻撃であれば、まず元に戻されないと考えるべきです。
（次々と身代金を払い込ませるために、一部だけ戻して『金を払えば戻してもらえる』と思い込ませる手口はあり得ますが）

そうなると、シンプルな疑問が浮かぶと思います。
『元に戻してもらえないなら、どうやって業務を再開するのか？』
考えられる最も分かりやすい方法は、『全てのコンピュータを初期化（データ全消去＆再インストール）して、バックアップからデータを復元する』でしょう。
もちろん、ネットワークも全て切断します。（問題発覚直後に行っているとは思いますが）

ただ、システムの構成によっては、『バックアップデータも、同じサーバ（あるいはネットワーク）上に保管している』という場合もあるでしょう。
その場合、バックアップデータも同じように暗号化されているケースも考えられます。
そうなってしまうと、被害を受けた側としては「詰み」です。
データは元に戻らない、バックアップも使えない。
外部の専門業者に依頼したところで、データを救い出せる可能性は、限りなくゼロに近いです。

さらに、今回の事件では、病院の電子カルテなどが被害にあったということですから、『患者のカルテの内容が外部に漏えいしている』という可能性も、残念ながら否定できません。
人の病状などは、個人情報保護法でも「要配慮個人情報」にあたるとされており、システムとして保護しなければならない機微な情報です。
今回の事件では、まだ侵入経路やデータの漏えいなど詳しいことが分かっていませんが、単に病院側が被害に遭っただけとは言い切れないのが恐ろしいところです。

一方で、このような事件の「引き金」となってしまう行為は、私たちのごく身近な場所に潜んでいます。
例えば、『メールに添付されたファイル』。
昔から使われているサイバー攻撃の手口ですが、未だにこの添付ファイルがきっかけで被害に遭うケースが後を絶ちません。
むしろ、ここ数年急増している手口で、いわゆる「標的型攻撃」と呼ばれるような、本当の取引先とやりとりをしていると勘違いしたまま、被害に遭うケースもあります。

また、Webサイトを通じた「クロスサイトスクリプティング」や「フィッシング詐欺」なども、当たり前のように行われています。
しかも、手口はどんどん巧妙化し、先ほどの「標的型攻撃」と合わせた詐欺ページへの誘導なども起きており、もはや何を信じればいいのかという状況にすら陥ってしまいます。

電子カルテのようなシステムは、本来は、政府の進める「ＤＸ（デジタルトランスフォーメーション）」の趣旨にも合致する、デジタル技術の有効な応用例です。
しかし、今回の事件では、『デジタルであったがゆえに』被害を受け、そして数日経ってもなお、復旧できない状態が続いています。
本来であれば、その『デジタルであったがゆえに』を防ぐために、デジタル技術を使ってネットワークを保護したり、あるいは、バックアップの取り方を工夫するなどの対策が取られます。

ただ、デジタル技術、あるいは、情報セキュリティというのは、非常に複雑で、そして難解です。
私は情報処理安全確保支援士として認定を受けていますが、『じゃあ、電子カルテシステムのセキュリティ設計をしてくれ』と頼まれて、すぐに作れるような容易いものではありません。
電子カルテシステム自体の構造もそうですが、病院内のネットワーク、ネットワークに接続する端末、それらの端末を操作できる人物、アカウント管理、病院側のシステム管理体制……。
デジタル技術だけでなく、それを取り巻く環境や実際の「現場」での使われ方を正しく理解できなければ、セキュリティの「穴」を突かれて、今回のような事件に発展してしまいます。

そして、どれだけ優れた「セキュリティ設計」を作り上げたとしても、そのルールが守られなければ、やはりサイバー攻撃の餌食になってしまいます。
そのために、情報セキュリティを担当する部署や人物は、ルールが守られるように、利用者に指導や教育を行い、時には監査などによって、ルールが守られていることを確認しなければなりません。
みなさんも、職場や学校にいけば、パソコンを使う際のルールなどがあると思います。
中には、『アレもダメ、コレもダメで、そんなの守ってたら仕事なんてできないよ！』というようなものもあるかもしれません。
そういうところは、ぜひ、情報セキュリティの担当者に教えてあげてください。
その担当者がルールの目的をちゃんと理解しているなら、どのようにすれば「情報セキュリティ」と「効率的な仕事」を両立できるか、真剣に考えてくれるはずです。

というわけで、今回はニュースで話題となった「ランサムウェア」について、簡単に取り上げました。
もっとも、情報セキュリティを脅かす攻撃は、まだまだ山ほど種類があります。
少々脅迫じみた言い方ですが、私を含め、情報セキュリティのプロ、あるいは、デジタル技術のプロを自称するのであれば、より一層、強い危機感を持って職務に当たる必要があります。
他人事ではなく、いつ自分の管理するシステムが狙わてもおかしくない。あるいは、もう踏み台にされているかもしれない。
『デジタル技術を活用するためには、まず安全を確保しなければならないのだ』
そう肝に銘じて、活動していこうと思います。

それでは、サイバー攻撃の恐ろしさを人一倍感じた、山本慎一郎でした。