WanaCrypt0rと呼ばれる深刻なランサムウェア攻撃が、現在74カ国で様々な個人や企業に影響を与えています。最初の被害を受けたのは英国の複数のNHS病院で、重要な患者データが人質に取られました。犯人はビットコインでわずか300ドルの支払いを要求しており、ビットコインはこうした悪質な行為によく使われる仮想通貨です。これに対し、影響を受けた国民保健サービス(NHS)傘下の病院は予約をキャンセルし、緊急事態のない限り、状況が解決するまで来院を控えるよう呼びかけています。攻撃者が奪った医療データを身代金として要求する行為は、現代のインターネットの根本的な真実を浮き彫りにしています。つまり、すべてのデータは潜在的なリスクであり、機密データの保護は後回しにできるものではないということです。
病院は観察結果をデータに変換しますが、多くの場合、極めて機密性の高いデータであり、数千人規模の個人のためにこれを行います。そのデータこそが身代金を要求する価値のある金塊です。ランサムウェアが家庭のコンピュータを標的とした場合、犯罪者が個人に請求できる金額には限りがあり、個人がその後の攻撃から身を守るために利用できるセキュリティサービスやツールがいくつかあります。病院システムに保存されている個人情報を個人が保護することはほとんど不可能であるため、病院はデータのセキュリティ確保に重点を置くべきです。そうでなければ、今回のような身代金攻撃は、病院に即時の支払いを迫るか、データの永久的な損失を被る可能性を秘めています。
特定の医療機器に特化したセキュリティ研究者は、薬物注入器やペースメーカーなど、ファームウェアのアップデートが正規のものであると認証せずに受け入れてしまうといった基本的なセキュリティ上の脆弱性を日常的に発見しています。こうした脆弱性の一つは、FDAが病院に対し、容易に侵入できる機器の使用を中止するよう要請するほどでした。しかし、病院における脆弱なサイバーセキュリティがもたらす最大のリスクは、データへのアクセスにあると言えるでしょう。
保険会社から盗まれた個人情報は、闇市場でクレジットカード情報の最大20倍の価値を持つ可能性があります。医療情報があれば、闇市場で転売可能な医薬品を不正に入手したり、医療IDを盗んだりすることも可能です。インスリンポンプやペースメーカーといった特定の医療機器に身代金を設定することで、犯罪者はそれらの機器を必要としている人々や苦しんでいる人々から金銭を巻き上げることができます。
そして、データに基づいて運営されている病院では、その情報にアクセスできないと、患者に何を与えるかといった些細な詳細さえも脅かされる可能性があります。
問題の一部は、病院のコンピューターが古くて脆弱なオペレーティングシステムで動作していることにあるようです。将来的には、最初からより強力なセキュリティを義務付ける規制によって解決される可能性がありますが、現状のままでは、それでは問題が解決しないことは確実です。誰かが300ドルのビットコインで身代金を支払ったようですが、この事態が収束する前に、さらに多くの金銭が動き出すことはほぼ確実です。
このランサムウェア攻撃はNHSだけに限ったものではありませんが、病院への攻撃は最悪の結果となる可能性があります。スペインの複数の企業も同様のランサムウェア攻撃を受けているようです。攻撃は本日午後までに74カ国に拡大しました。この攻撃は、NSAによって発見され、NSAの漏洩ファイルで公開されたWindowsの脆弱性を狙ったものと思われます。マイクロソフトは3月にこの脆弱性へのパッチ適用方法に関する情報を公開しましたが、エンドユーザーにパッチが提供されたとしても、サイバーセキュリティの脆弱性を修正することは必ずしも優先事項ではありません。
サイバーセキュリティ対策の不備とパッチ適用の不備が、ランサムウェアなどの脅威をNHSシステムに侵入させてしまった結果の一つです。そして、NHSはこうした攻撃を阻止する態勢が十分に整っていなかったようです。2016年11月、スカイニュースとサイバーセキュリティ専門家のHacker HouseがNHSを対象に行ったセキュリティ調査で、「公開検索によって、不適切な設定のメールサーバー、古いソフトウェアとセキュリティ証明書、そしてNHSトラストのメールアドレスとパスワードが発見された」のです。
