ランサムウェア、いわゆる「身代金要求型ウイルス」によるサイバー攻撃の被害が世界中で拡大しています。国内でも企業や医療機関などがランサムウェア感染により業務停止を余儀なくされるなどの被害が確認されています。

本記事では、最近発生した国内の医療機関におけるランサムウェアの事件を通して、内部対策の重要性について考えてみたいと思います。

病院でのランサムウェア攻撃による事件の概要

今回事例として取り上げる組織は、大阪に拠点を構えるある病院です。昨年、徳島県の病院でもランサムウェアの被害に遭ったことは記憶に新しいかと思いますが、再び国内の病院がランサムウェアの被害に遭い大きく報道されました。

この事件では、電子カルテシステム等の基幹システムのデータが暗号化されるなど、1,000台を超えるシステムに影響が及んでおり、事件の第1報から2ヶ月近く経つ、2022年12月中旬の現在でも一部の業務は再開できない状況にあるようです。

このように被害が大きくなったことの理由として、最近のランサムウェア攻撃の特徴である標的型であることが関係している点や、感染経路としてVPN装置の脆弱性を突かれて侵入されている点に着目し、標的型ランサムウェアへの対応を考える上で内部対策がなぜ重要なのか解説します。

図1：事件の概要

標的型のランサムウェアと従来のランサムウェアの違い

先に触れたようにこの事件は"標的型"のランサムウェア攻撃による被害である点が特徴の一つです。ここで、従来型のランサムウェアとの違いを見てみましょう。

従来型のランサムウェア攻撃

従来型のランサムウェア攻撃は、無差別的に多くの組織にフィッシングメールを送る点が特徴です。

たまたまファイルを開いたり、リンクをクリックしたりした端末のデータが暗号化されるなど影響を受けるシステムズ数及び被害は比較的小規模な傾向にあります。

標的型のランサムウェア

一方、現在増えている標的型の攻撃では、その名称の『標的型』が示す通り、あらかじめ特定の組織に標的を定め、人の手によって執拗に内部への侵入を図るという特徴があります。

多くは他の標的型攻撃と同様にドメインコントローラーなどの管理者権限を狙い、それによって多くのシステムを掌握する権限を入手することになるため被害が甚大になる傾向にあります。

日本では公開されている例が少ないのですが、海外の事件ではドメインコントローラーの管理者権限を奪取されたことにより、18,000台もの端末がランサムウェアに感染した事例もあります。

図2：ランサムウェアの従来の攻撃手法と新しい攻撃手法

ランサムウェア対策としての内部対策の重要性

そうはいっても『侵入されなければそもそも被害に遭わないので入口対策をしっかりすればいいのでは？』と考えるかもしれません。

残念ながら、攻撃がますます巧妙になっている昨今、万能の入り口対策は無いことを認識・前提としたうえで対策を講じる必要があります。入口対策の一つであるメール訓練にしても、いかに徹底した訓練を行ったとしても一人の不注意な行動によって被害が発生します。ウィルス対策ソフトでマルウェアを100%検知できる技術は存在しないため、不正メール対策も絶対ではありません。

今回の事件の感染経路になったVPN装置等のシステム・ソフトウェアの脆弱性は突然見つかるものであり、必要な対策を講じないまま攻撃者に悪用されることがあります。さらに、根本的なことですが、ヒューマンエラーを無くすことはできません。システムの設定が適切かどうかの判断は最終的には人であり、人の判断が誤っていて設定不備があるとその点を突かれ侵入を許してしまいます。

こうした理由から、初期感染・侵入を完全に防ぐことは難しく、悪意のある攻撃者に侵入されることを前提として内部対策を講じることが必要です。そして、前述の通り最近のランサムウェア攻撃において攻撃者は管理者権限を狙う傾向にあり、悪用されると甚大な被害が発生することから、内部対策として適切な特権アクセス管理を講じることは特に重要と言えるかと思います。