全2433文字
PR

 徳島県のつるぎ町立半田病院にランサムウエア(身代金要求型ウイルス)攻撃を仕掛けた犯罪者集団が、「病院側から身代金を受け取った」と主張していると一部メディアが2022年10月に報じた(図1)。犯罪者集団の主張が事実なら、データ復旧を請け負った事業者の関係者などが犯罪者集団側と交渉した可能性がある。

図1●ランサムウエア被害に遭ったつるぎ町立半田病院
図1●ランサムウエア被害に遭ったつるぎ町立半田病院
半田病院は2021年10月、ランサムウエア攻撃の被害に遭い、電子カルテシステムなどを暗号化された。
[画像のクリックで拡大表示]

 仮に事業者の関係者が身代金の支払いを代行していた場合、その事業者も犯罪に加担したと見なされると専門家は指摘する。間接的とはいえ犯罪者集団に身代金を渡す格好となるため、ランサムウエアの被害に遭った組織も批判を受ける恐れがある。データを復旧するために事業者に支援を求める際に、意図せぬ形で身代金を支払うリスクに注意が必要だ。

つるぎ町は支払い拒否を表明

 病院側から身代金を受け取ったと主張している犯罪者集団は「LockBit」である。半田病院にランサムウエア攻撃を2021年10月に仕掛け、電子カルテのシステムやバックアップ用データを暗号化して病院に身代金を要求していた(表1)。LockBitは病院側の関係者との交渉を経て、3万ドル(約450万円)を受け取ったと主張している。

表1●半田病院のランサムウエア被害を巡る主な動向
2022年6月に公表された調査報告書でも、データ復旧事業者の関与が示唆されていた。取材やつるぎ町立半田病院が2022年6月に公表した調査報告書などを基に作成。
表1●半田病院のランサムウエア被害を巡る主な動向
[画像のクリックで拡大表示]

 被害判明当時、つるぎ町町長の兼西 茂氏は身代金の支払いを拒否すると表明していた。半田病院は東京の事業者にデータの復旧作業を依頼し、「調査復旧費の名目で約7000万円を支払った」(半田病院)。その後半田病院は、この事業者が独自技術で復旧したとするデータを使うなどして、2022年1月4日に新たな電子カルテシステムを稼働。新規患者の診療などを再開した。

 このデータ復旧に対しては「関係者がLockBitと交渉し、暗号を解除する鍵を入手したのではないか」という見方が、今回のLockBit側の主張が明らかになる前から存在した。LockBitのランサムウエアが扱う暗号化技術が高度なため、暗号化されたデータを復号するには解除用の鍵を入手しなければ難しいとサイバーセキュリティーの有識者の多くが考えていたためだ。

 半田病院が2022年6月に公開した、ランサムウエア被害に関する有識者会議による調査報告書も、こうした見方を示唆していた。病院が身代金を支払った可能性を否定する一方で、データ復旧を依頼した事業者について「何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある」と記述していたからだ。今回のLockBitの主張は、こうした見方を補強するといえる。

 ただし、LockBitの主張が事実かどうかは不明だ。事実だとしても、病院がデータの復旧を依頼した事業者がLockBitと交渉したかどうかは分からない。半田病院が依頼したとみられる事業者に確認を求めたところ、「一部報道に記載されている内容は事実無根」との回答が2022年11月4日夜にあった。