NHS 病院におけるランサムウェア
現代の世界的なサイバー攻撃の中でも最大の 1 つとされる WannaCry が世界中の主要組織を襲った 2017 年には、ランサムウェアがニュースの見出しとして話題になりました。被害を受けた中で最も注目を浴びた組織の 1 つが、英国の NHS(国民健康サービス)でした。この記事では、NHS に起きたランサムウェア被害の背景と、攻撃による被害、そしてビジネスにおけるランサムウェア攻撃のリスクを低減するための対策法をご紹介します。
NHS への攻撃が発生したのはいつ?
2017 年 5 月 12 日、英国の NHS は WannaCry の名で知られるランサムウェアの被害を受けました。この大規模なランサムウェア攻撃による主要システムの停止に伴い、病院は機能不能の状態に陥りました。数千件もの手術が中止され、医療スタッフは患者の記録にアクセスできないどころか電話回線を使用することもできませんでした。
NHS イングランドは、イングランド内の NHS トラスト 236 軒のうちおよそ 3 分の 1 が被害を受けたと推定しており、結果としてデータ侵害の犠牲となったスタッフと患者のプライバシーや健康の懸念を生じさせました。
WannaCry とは?
2017 年 3 月、WannaCry はわずか 1 日の間に世界中の約 23 万台のコンピュータを襲ったとして、世界で最も悪名高いランサムウェアとして知れ渡りました。当時の WannaCry の攻撃は直ちに食い止められましたが、WannaCry の変異型による被害は現在も後を絶ちません。
ワームとしての WannaCry は、デバイスに感染するとネットワークを通して自動的に拡大し、1 つの感染が多数のデバイスをリスクに陥れる可能性があるため、阻止することが特に難しいのです。数ある悪名高いランサムウェアにおいて、WannaCry は氷山の一角に過ぎません。他にも Sodinokibi や Ryuk などが存在します。
Eternalblue とは?
Eternalblue は Windows OS の脆弱性を利用するためのエクスプロイトですが、ハッカーによって作られたものではありません。Rather はアメリカ国家安全保障局(NSA)によって開発されました。不幸にも、Eternalblue は The Shadow Brokers として知られるハッカー集団によって盗まれ、WannaCry の作成に使用されました。Microsoft は直ちにパッチを作成しましたが、発売後に 1 度もアップデートされていない Windows PC はどれも脆弱性を残したままでした。
Eternalblue は Microsoft の旧式の通信プロトコルである SMBv1 を利用します。ターゲットとするサーバーに悪意のあるパケットを送りつけるだけで、マルウェアは急速にネットワーク中に広がり、短時間でセキュリティに重大な脅威を生じさせる恐れがあります。
これに似たアプローチを取る他の種類のランサムウェアには、Petya(同様に Eternalblue を基とする)、Cerber、Locky などがあります。
NHS への攻撃 - 何が起きたのか?
WannaCry の攻撃は特定の組織を狙ったものではありませんでした。その代わりにそれらは危険をはらんでおり、既に認知されていたセキュリティの弱点を利用してネットワークに感染するためのあらゆる機会を探っていました。
WannaCry が直接 NHS を狙った訳ではなかったにしろ、貧弱なセキュリティと時代遅れのシステムが攻撃を容易にしたのです。英国の病院における多くのコンピュータがパッチ未適用の Windows 7 を使用していたため、このランサムウェア ウイルスはネットワークの大部分における脆弱性を利用して一瞬にして世界中に急拡大しました。
トラストの現地ネットワークに感染した WannaCry マルウェアにとっては、全地域の NHS を結ぶ N3 ネットワークを介して拡大することも可能でした。しかし、その攻撃の被害は NHS のメール システムには及ばず、データのランサムによる支配やフィッシングへの使用といった更なる被害は阻止されました。
NHS はこの攻撃にどう対処したのか?
NHS は WannaCry ランサムに身代金を払ったのか?
NHS イングランドおよび国家犯罪対策庁は、NHS は病院を襲ったランサムに対して身代金を支払っていないと報告しました。サービスの妨害によって NHS に生じた損害を保健省は把握していないとされますが、ある推定によると、その損失額は 9,200 万ポンド(1 億 1,600 万ドル)にのぼるとされています。
そのサイバー攻撃は、コンピュータ セキュリティ研究者の Marcus Hutchins 氏が、ランサムウェアが自動的にチェックするようにプログラムされた未登録のドメインを特定したことによって阻止されました。同氏は、ドメインの登録によってキルスイッチの生成に成功しました。英国の国家サイバー セキュリティ センターは、解読方法が判明するまでの数日間にわたって、ドメインを停止させる攻撃からの保護にあたりました。
ランサムウェア攻撃による NHS の被害は?
英国の NHS トラスト 236 軒のうち少なくとも 80 軒に加え、603 軒のプライマリー ケアおよびその他の NHS 組織、さらに 595 軒の一般医療施設に被害が及んだとされています。
そのサイバー攻撃は、コンピュータ セキュリティ研究者の Marcus Hutchins 氏が、ランサムウェアが自動的にチェックするようにプログラムされた未登録のドメインを特定したことによって阻止されました。同氏は、ドメインの登録によってキルスイッチの生成に成功しました。英国の国家サイバー セキュリティ センターは、解読方法が判明するまでの数日間にわたって、ドメインを停止させる攻撃からの保護にあたりました。
主要病院におけるランサムウェア攻撃のその他の例
NHS のランサムウェア事件以外にも、医療施設を巻き込んだ有名な事例が存在します。2019 年 7 月、アラバマ州のスプリングヒル メディカル センターがランサムウェア攻撃に襲撃されたことによってネットワークの停電が生じ、分娩棟の監視システムがシャットダウンする事態に陥りました。事件後、Teiranni Kidd 氏という 1 人の母親が訴訟を起こし、攻撃によって健康状態の監視体制に変化が生じたために、新生児の脳には損傷が見られ、その後死亡したと訴えました。ランサムウェアが原因とされる初の死亡事例となりました。
2020 年 9 月、ユナイテッド ヘルス サービスに深刻なダメージを引き起こしたランサムウェア攻撃の最近の事例。同組織の IT ネットワークは Ryuk ランサムウェアによって数日間の停止に追い込まれ、予約のキャンセル、他施設への患者の搬送、診療記録の管理が紙面に制限されるといった結果になりました。復元に約 1 か月を要し、その損害は 6,700 万ドルと推定されています。
残念なことに、病院におけるランサムウェア攻撃はますます広がっています。一部の報告書によると、2021 年に発生した医療関係における攻撃の被害は 4,500 万人にのぼり、2020 年の 3,400 万人から大きく増加しました。別の調査によって、英国の医療組織の 81 %が 2021 年に発生したランサムウェア攻撃の犠牲となったことが判明しました。
これらの出来事から事業主が学べることとは?
WannaCry の攻撃の 1 年前に、保健省は NHS へのサイバー攻撃のリスクを指摘されていましたが、事態が発足した時にはまだ対策は進行中のままでした。保健省はまた、Microsoft が 2014 年にサポートを終了した Windows XP という古い Windows システムを使用することを当時認めていたとして非難されました。
この有名な攻撃から得られる主な教訓は、サイバーセキュリティの最適な習慣の優先およびパッチ管理の実行です。これは要件の厳しい環境においては難しいことかもしれませんが、エクスプロイトによってハッカーがビジネス ネットワークおよびサイバーにアクセスするのを防ぐには、脆弱性への対策は必要不可欠なのです。
それに並行して、以下のようなサイバーセキュリティの習慣を取り入れる必要があります。
- IT 災害復旧プランの作成
- ランサムウェア保護ツールの導入
- フィッシング / ソーシャル エンジニアリングの攻撃を回避するためのスタッフのトレーニング
- 機密文書の復元のためのセキュア データ バックアップの作成
これらの要素を併せて取り入れることで、攻撃のリスクを低減し、ダウンタイムや復旧期間を最小限に抑えることが可能です。ビジネスが攻撃の被害を受けてしまった場合には、多くのセキュリティ機関や政府機関が、特定の種類のランサムウェアによって盗まれたデータを復元するための解読ツールを開発していることを認識しておきましょう。
主要なランサムウェア攻撃についての詳細は、アトランタおよびボルチモアの都市で起きた攻撃における当社のケース スタディーをご覧ください。
ランサムウェア攻撃からのビジネスの保護はアバストにお任せ
ランサムウェア攻撃からビジネスを保護するためには、バックアップや効果的なセキュリティ導入が必要不可欠です。アバスト スモール ビジネス サイバーセキュリティ ソリューションでは、ビジネスのサイズに応じて最適な保護のレベルを選択でき、ランサムウェアやその他の種類のサイバー攻撃からのデバイスの保護をサポートします。
© 2024 Gen Digital Inc.