「攻撃者は病院を狙っているわけではない」――ランサムウエア被害の対処・対策に詳しいソフトウェア協会(SAJ)の板東直樹理事は、ランサムウエアを使う攻撃者についてこう話す。板東理事はランサムウエア被害に遭った徳島県つるぎ町立半田病院や大阪急性期・総合医療センターで、初期対応や被害報告書作成に携わった。
病院では電子カルテや高精度な画像診断装置をはじめ、急速なデジタル化が進んでいる。機器の稼働を優先するあまり、セキュリティー対策がおろそかになっている場合が多い。
そうした病院のシステムがランサムウエアに感染すると、病院運営の要である電子カルテをはじめさまざまなシステムのデータが暗号化され、診療体制に大きな打撃を与える。当事者はどのように初動対応し、復旧に向けて何をすればよいのか混乱してしまうだろう。
ランサムウエア被害に遭ったとき、当事者がとる行動によって、被害範囲や復旧時期が大きく変わる可能性がある。どのように行動すれば被害を最小限にとどめ、復旧時期を早められるのだろうか。板東理事や厚生労働省に話を聞いた。
最初にとるべき3つの行動
コンピューターがランサムウエアに感染すると、攻撃者からのランサムノート(脅迫文)がディスプレーに表示されたり、プリンターから出力されたりして、当事者は被害に気付く。被害に気付いた人が最初にとるべき行動は、(1)ネットワークを遮断する、(2)コンピューターの電源を切らない、(3)コンピューターを操作しない――の3点だ。これらの行動は被害の拡大を防ぎ、侵入経路や被害範囲の特定、ランサムウエアの解析といった復旧作業を進めやすくする。
(1)ネットワークを遮断すれば、ランサムウエアがネットワークを介して別のコンピューターへ感染を広げる活動を止められる。デスクトップパソコンやサーバーなら接続しているネットワークケーブルを抜く、無線LAN接続のノートパソコンなら無線LAN機能をオフにするかアクセスポイントの電波の届かない所に移動させるといった行動をとる。
(2)感染したコンピューターの電源を切るほうが安全だと思う人もいるだろう。しかし、コンピューターの電源を切ると、メモリー上のデータが失われてしまう。メモリーを解析して、攻撃に使われたランサムウエアの種類を特定したり、暗号化されたデータを復元するデータ(復号鍵)を抽出したりできる場合がある。復号鍵が手に入れば、攻撃者に身代金を支払わなくてもデータを復元できるかもしれない。コンピューターの電源を切らないという行動が正しい。
(3)同様の理由で、コンピューターを操作しないようにする。ソフトウエアを起動するなど、コンピューターを操作することでメモリー上のデータが書き換えられてしまう可能性がある。
