徳島県のつるぎ町立半田病院にランサムウエア(身代金要求型ウイルス)攻撃を仕掛けた犯罪者集団が、「病院側から身代金を受け取った」と主張していると一部メディアが2022年10月に報じた。犯罪者集団の主張が事実なら、データ復旧を請け負った事業者の関係者などが犯罪者集団側と交渉した可能性がある。
仮に事業者の関係者が身代金の支払いを代行していた場合、その事業者も犯罪に加担したと見なされると専門家は指摘する。間接的とはいえ犯罪者集団に身代金を渡す格好となるため、ランサムウエアの被害に遭った組織も批判を受ける恐れがある。データを復旧するために事業者に支援を求める際に、意図せぬ形で身代金を支払うリスクに注意が必要だ。
犯罪者集団が3万ドルを受け取ったと主張
病院側から身代金を受け取ったと主張している犯罪者集団は「LockBit(ロックビット)」である。半田病院にランサムウエア攻撃を2021年10月に仕掛け、電子カルテのシステムやバックアップ用データを暗号化して病院に身代金を要求していた。ロックビットは病院側の関係者との交渉を経て、3万ドル(約450万円)を受け取ったと主張している。
被害判明当時、つるぎ町の兼西茂町長は身代金の支払いを拒否すると表明していた。半田病院は東京の事業者にデータの復旧作業を依頼し、「調査復旧費の名目で約7000万円を支払った」(半田病院)。その後半田病院は、この事業者が独自技術で復旧したとするデータを使うなどして、2022年1月4日に新たな電子カルテシステムを稼働。新規患者の診療などを再開した。
このデータ復旧に対しては「関係者がロックビットと交渉し、暗号を解除するカギを入手したのではないか」という見方が、今回のロックビット側の主張が明らかになる前から存在した。ロックビットのランサムウエアが扱う暗号化技術が高度なため、暗号化されたデータを復号するには解除用のカギを入手しなければ難しいとサイバーセキュリティーの有識者の多くが考えていたためだ。
半田病院が2022年6月に公開した、ランサムウエア被害に関する有識者会議による調査報告書も、こうした見方を示唆していた。病院が身代金を支払った可能性を否定する一方で、データ復旧を依頼した事業者について「何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある」と記述していたからだ。今回のロックビットの主張は、こうした見方を補強するといえる。
ただし、ロックビットの主張が事実かどうかは不明だ。事実だとしても、病院がデータの復旧を依頼した事業者がロックビットと交渉したかどうかは分からない。日経クロステックは、半田病院が依頼したとみられる事業者に確認を求めたものの、2022年11月4日正午時点で回答を得られていない。
身代金の交渉は詐欺罪に問われかねないが……
仮に事業者が病院側に無断で身代金を支払いデータを復旧した場合は、病院側の意図に反して犯罪者に利益を与えたことになる。サイバーセキュリティー関連の法制度に詳しい大学改革支援・学位授与機構の石井徹哉教授は「詐欺罪が成立すると考えられる」と指摘する。
さらに、事業者が交渉することを病院側に説明して了承を得ていても、有罪になる可能性があると石井教授は説明する。例えば事業者が犯罪者集団と頻繁に交渉しているケースであれば、犯罪者が利益を得るうえで必要な作業に事業者が主体的に関与していると考えられるためだ。
