所さん!事件ですよ「8万5千人が消えた!?謎の誘拐事件」 ▽こんな話

NHK総合 2022.5.26 OA
ランサムウエアで公立病院の8万5千人の電子カルテが閲覧できない事態に☆
バックアップもダメだった。ランサムウエア急増 アメリカでも☆
中小企業もランサムウエア。6割近くが身代金を支払☆
身代金を支払っても すべてのデータが戻るとは限らない☆
身代金の減額交渉を行う交渉人がいる☆
ランサムウエアの多くはロシア語圏を拠点?

【司会】所ジョージ 木村佳乃 ホルコムジャック数馬
【出演】アイクぬわら,元捜査一課刑事 佐々木成三,NTT研究所員 中島明日香【語り】吉田鋼太郎

ランサムウエアで公立病院の8万5千人の電子カルテが閲覧できない

番組に 大量誘拐事件の情報が飛び込んできた!
なんと 犯人は 8万5千人を人質に取り その身代金を要求してきたというのだ。

事件の被害届を出した徳島県つるぎ町立半田病院 須藤泰史 前病院長に話を聞いた。

2021年10月の深夜 ナースステーションにいた当直の看護師が異変に気付いた。突然 十数台のプリンターが一斉に動きだし英文の犯行声明を 紙がなくなるまで印刷し続けた。
犯行声明には 英文で「あなたたちのデータは盗まれ 暗号化された。身代金を払わなければ 情報を流出させる」と書いてあった。
そして 患者 8万5千人分の電子カルテが一切 開けなくなってしまったのだ。
「病院がサイバー攻撃にやられ、食事のオーダー・リハビリのオーダー・予約・会計もできない。 病院のすべての機能が止まってしまった。」

病院がサイバー攻撃に遭った直後のニュース映像が残っている。
予約システムもダウンしてしまったため 来院した患者に名前や受診した理由を一から尋ねなくてはならない。診察までの待ち時間が倍増。新規患者の受け入れを停止せざるをえなくなった。
これまでの診察記録や検査結果が 一切 見られないため 現場は大混乱に陥った。
「電子カルテは 病気の経過を見るために必要、例えばがん患者であれば 元々の進行度 腫瘍マーカーの値 比較するのが非常に大事。過去の記録が見られないと 本当にその人の命に関わる」

病院のサーバーを攻撃したのは ランサムウエアという 身代金要求型 コンピューターウイルス
多くの場合 メールに添付された ファイルを開くことで ウイルスに感染する。
デスクトップの画面を見ていると さまざまなアイコンが ランサムウエアによって次々と暗号化され 全部が白いアイコンになった。画面には 「ファイルを取り戻したければ 暗号を解除するキーを購入せよ」というメッセージが表示される。 実際 暗号化され 真っ白になった ファイルをクリックしても 開くことはできない。

病院のネットワークに侵入した サイバー犯もランサムウエアを使って電子カルテなどを暗号化
暗号の解除キーと引き換えに身代金を要求してきたのだ。

犯人は この時点では 具体的な金額には触れていなかったが 病院は 警察や自治体に相談。たとえ 支払ったとしても すべてのシステムが 復旧するとはかぎらないと聞き「犯人とは交渉もせず、身代金を支払わない」という苦渋の決断をした。

被害から2か月後 病院の職員は 連日 作業に取り組み 電子カルテを含む 一部のデータの復旧に成功した。この病院では 今まで情報の流出は確認されていないという。しかし すべてのシステムを復旧させるには 2億円かかるとみている。
「病院の経営的には厳しい。うちの病院なんかは 患者さんを制限したので 診療報酬は約1億の減収があり 3億円の被害 相当なダメージです。」

近年 ランサムウエアの被害は急拡大している。
今年3月 トヨタ自動車は 取引先が攻撃を受け 国内全工場の稼働を停止する事態となった。
森永製菓では社内システムに障害が発生し 製品の生産と配送に影響が出た。
東映アニメーションも アニメ制作に関わるシステムが停止して4つの人気作品の放送延期を 余儀なくされた。

バックアップもダメだった。ランサムウエア急増 アメリカでも

(所)お仕事してる人には 大変ですね 。そんなこともあろうかと データのバックアップがあればね。

実はあったそうです。ただランサムウエアに感染し バックアップもろとも開けなくなった。

(所)あったんだ! 違うところに バックアップ作らなきゃダメだね。

確かに すべてを デジタル化しちゃうっていうよりかは デジタルと アナログ2つ持っておくと安心ですね。

ランサムウエア 国内の被害件数は 右肩上がりに ここ1~2年で急増。
(NTT研究所員 中島) コロナ禍で増えた リモートワークも一因、例えば 外部から社内のネットワークに 接続する際にも使われる「VPN(Virtual Private Network)」という技術があり 構築する機器に ぜい弱性があると 侵入経路となり ランサムウエアに感染させられる場合もあります。
最近のソフトウェアにアップデートをして脆弱性をつぶすことが大切になります。

(指笛) はじめまして! アイクぬわらです!(9歳からプログラミングの勉強を始め 飛び級で 工科大学を卒業。 世界的な金融機関でITエンジニアをしていた IT通)。

アイクさん このランサムウエア 世界中で 猛威 振るっていますよね。
(アイク)そうですね。アメリカでも去年 石油パイプライン最大手のシステムがダウンして 6日間オイルが ストップ。 みんながガソリンの買い占めに走ってカオスになりました。残念ながら 企業は身代金 5億7千万円払ったと言わてれる

アメリカ 財務省によると ランサムウエア攻撃に対して払われた身代金は 2021年前半だけで 767億円にもなった。

(所)それ以上の利益が コンピューター使うとあるってことだよ。 だから 払うんだもんね。

中小企業もランサムウエア 6割近くが身代金を支払

ランサムウエアに狙われるのは大企業ばかりではなく 警察庁によると被害の半数以上 54%は 中小企業に集中しているという。

被害に遭ったという北海道小樽市の鮮魚店を訪ねた。魚市場の一角で50年以上営業している鮮魚店。近年は カニなどのオンライン販売にも力を入れているという。
(鮮魚店 取締役 乙丸健さん) 発端は 海外から届いた英語のメール。店に来た観光客からのものと思い込み添付ファイルを開いてしまった。
すると店のパソコンがランサムウエアに感染し すべてのデータが暗号化されてしまった。「セキュリティー対策は ウイルスにかかると思わなかったので まったく何もしていなかった。入れると動作が重たくなるからしていなかった。

一番困ったのが オンライン通販の 受注・発送システムがダウン、多い日は 200~300件 入る注文が
一切 確認できなくなってしまった。顧客情報は流れていないが 商品の発送に障害が出て お客さんから受注はできるが、何もデータが見られないから発送できなかった。
その結果 電話なりっぱなし、お問い合わせばかりでお客様に迷惑をかけた。売り上げは半分に。
システムのダウンから10日。このままでは店の信用に関わると 泣く泣く 身代金の支払いに応じ サイバー犯の要求に従い 暗号資産 ビットコインを30万円分支払う。

「個人商店で30万円いいところついてくる。売り上げはデータ化していた。データを見られて 払えそうな額を決めているのかなと」

送金から3日後 暗号の解除キーが届きシステムは復旧した。
しかし 暗号化されたデータの2割程度はとうとう 復旧できないままだった。

ある調査によると 去年 ランサムウエアの被害に遭った企業のうち 6割近くが身代金を支払ったという。

身代金を支払っても すべてのデータが戻るとは限らない

ランサムウエアに感染し身代金を要求された場合一体 どうすればいいのか?
警察庁サイバー警察局 サイバー企画課長 大橋一夫警視監
担当者に話を聞く。
たとえ 身代金を払ったとしても データーの公開を止めたり 暗号化されたモノが元に戻ることが 保証されるものではありません。払うことによって 事案が解決するとは考えていないことを 企業の方に説明しています。警察としては 支払われた金銭が 犯罪グループの活動資金になる。そういうことに対して非常に懸念しています。

警察庁のホームページには ランサムウエアに感染した際の 対応方法が掲載されている。リンク先のページには 暗号化されたファイルを 復旧するためのツールも公開されているので まずは 試してみてほしいという。

警察としては 身代金を支払ったとしても 必ずパスワードが送られてきて すべてのデータが戻るとは限らない。まずは各都道府県の警察に相談して欲しい。VTRの鮮魚店では 当時は 警察に届け出るという発想が なかったと悔やんでいるそうです。

(所)あと 何か 結局 暗号資産(ビットコインなどの仮想通貨)てじゃまじゃん こうなると。

(佐々木)暗号資産は銀行口座間の送金と違い 取り引き情報から 個人や組織を特定できないので そのお金を送金された犯罪者は足がつかない。暗号資産が誕生したため サイバー犯罪が増えた。

(中島)特に注意して欲しいのは「エモテット」というウイルス、このウイルスの 怖い点としましては
感染した端末から 実際に やり取りしてる相手などに なりすましメールがばらまかれることです。

実際に エモテットの例として 仕事で関係のある人から 「請求書をご確認ください」なんていうメールが来たら 焦って ついつい 添付ファイル開いてしまうと思うんですよ。

(中島)受け取った人は つい 添付された その悪性ファイルを 開いてしまい感染してしまうんですよね。

(佐々木) 今年に入って プロサッカークラブのスタッフになりすました 不審なメールが確認された。
そのプロサッカークラブの パソコンを確認したら エモテットに感染していて スタッフに なりすまして
メールが たくさんの人に届いていた。

身代金の減額交渉を行う交渉人がいる

実はランサムウエアによる去年身代金として要求された額の平均はおよそ2億9, 000万円。実際に支払われた金額の平均はおよそ7, 000万円だったというんです。 開きがありますよね。
身代金を要求された側と サイバー犯の間に入って 身代金の減額交渉を行う交渉人がいるというんです。

今回 番組では 実際に この交渉人の取材に成功しました。
「身代金交渉人」とはどういう人物なのか?サイバーセキュリティーを専門とする
都内の企業 日本サイバーデェフェンスを訪ねた。

男性は この企業のCEO、取引先には官公庁やインフラ企業も多く 機密情報を扱っているため 防犯上
社員の顔は知られたくないという。
秘密保持契約書に署名し、被害に遭った企業の名前など 公開できない情報には モザイクをかけることを条件に交渉人を紹介してもらう。

交渉人のドゥーギー・グラントさん。毎年 数百件のランサムウエアの事案に対処しています。
「お顔出して大丈夫」と確認したところ「以前は警察や政府機関で働いていましたが 今は会社員なので大丈夫です」と下の階のモニターで対面した。

ロンドン市警や イギリス政府の セキュリティーセンターに勤め 30年以上 サイバー犯と戦ってきたグラントさんは 日本やアメリカをはじめ 世界中から依頼が舞い込むすご腕の 身代金交渉人。
「犯人とのコミュニケーションの手段はたくさんあります。でも通常はダークウェブ上で 1対1で話します」

ダークウェブとは 特殊なブラウザでしかアクセスできず 一般の人は見ることができない闇サイト
違法薬物の取り引きや 犯罪者同士の連絡などに使われる。
「スクリーンショットお見せします」
これは 犯罪グループとグラントさんが ダークウェブ上でやり取りしたメッセージ。彼らは 海外の医療機関をランサムウエアで攻撃。患者情報を暗号化。情報を流出させられたくなければ1, 999万9, 000ドル
日本円にして26億円を支払えと要求してきた。

これに対し 交渉人 グラントさんはまず「本当にデータを持っているのか確認したい」と返信した。
(アイク)うそかもしれないね。
「実際の誘拐事件と同様に まずは人質の生存確認を行います。犯人がデータを持っている証拠を見せてもらうんです」。データを盗んだわけでもないのに 「流出させる」と脅迫し金を だまし取る手口もあるという。
このケースでは 患者のデータは本当に盗み出されていた。 そこで グラントさんは情報を流出させないことを特殊な方法で確約させる一方 身代金の減額にも成功した。
しかし サイバー犯に 懐事情を知られると交渉は難しい時がある。標的にされた企業は「新型コロナの影響で資金がない」と身代金の減額を訴えたが サイバー犯は「あなたの言葉は信用できない」と一蹴した。
犯人は被害企業のネットワークに長時間潜入して資産状況や税金の額いくらまでなら身代金を出せるか把握していた。
サイバー攻撃に備え保険をかけている企業もあるが 契約内容を見られ 補償限度額いっぱいを 要求されるケースもあるという。

ランサムウエアの多くはロシア語圏を拠点?

「英語で会話されているが ランサムウエアのサイバー犯は英語圏の人間?」と問うと「サイバー犯との交渉は 常に英語で行うが、我々が知るランサムウエアのグループの多くはロシア語圏を拠点にしている。」
犯行グループがロシア語圏に属していることは ランサムウエアのソースコードから 推測できるという。
このランサムウエアは ロシア語圏の4つの国 ウクライナ・ベラルーシ・ロシア・カザフスタン では
起動しないようプログラミングされていた。

「これは最近日本企業が被害を受けた エモテットのファイルです」
ランサムウエアの侵入経路となる エモテットプログラムが実行される際 ロシア語のフォントが表示されるという。
「サイバー犯がエモテットを作ったとき ロシア語のフォントを使った。日本へのサイバー攻撃の裏に誰がいるかを示唆しています。私はランサムウエアを使った攻撃の8割~9割はロシア語圏からと感じています。ロシアは国がランサムウエアグループを守っていると言われています。今世界中の警察がロシアのランサムウエアグループを取り締まろうとしています」

アメリカにある大手食肉加工施設が 去年 ランサムウエアの攻撃を受け 操業停止に追い込まれた際 ホワイトハウスの副報道官は会見で ロシア政府に 「犯罪者をかくまうのは 責任ある国のすることではない」と述べ FBIも捜査に乗り出したことを明らかにした。

(所)あ~らま…。何か 何 コメントしましょう? これ。
(木村)何か 怖くなっちゃいました。

(中島)確かに ロシア語圏からと思われるランサムウエア攻撃が 多いようなんですけど サイバー犯は中国などにも多いと言われています。ただ痕跡はいくらでも偽装できてしまい 安易には断定できません。

(アイク)アメリカだとハッキングのスキルがあれば IT企業に就職できるけど 一方就職先のない国の人は悪いハッカーになるのかもしれない。

(中島)そうですね。最近 ランサムウエアを売る闇ビジネスも登場している。これは 本当に その一例なんですが 無料で ランサムウエアのプログラムを提供し 身代金が入手できたら その一部を受け取るということをしてるんですね。ランサムウエアのプログラムを作る技術力がなくても サイバー犯罪ができてしまう。サイバー犯罪の参入障壁を下げてるんですね。

改めてこのランサムウエアに感染しないための対策 教えてください。
(佐々木) 日々警戒心を持つこと 怪しいメールは開かない。怪しい添付ファイルは開かない。怪しいURLにアクセスしない。一番の弱点はソフトの脆弱性でなく 人間のネットリテラシー。

(木村)NHKは大丈夫なの ホルコムさん 大河ドラマとか見てたら いきなり画面が ザ~ッ! なんて変わって映画みたいに…。

▽まとめ&感想

ランサムウエア すごいことになっていますね。もう某国のせいとか?
病院なんて 乗っ取られたらえらいことです。素人考えですがですが 今更 デジタルと紙 両方残すなんてできないので PDFにでもして 隔離した場所に保存してもらいたいですね。
私は最近 メール ほとんど迷惑か 広告と思って確認しない日があったりして これも怖いですね。