米国とプエルトリコ、そして英国で400以上の病院施設などを展開するユニヴァーサル・ヘルス・サーヴィシズ(UHS)が9月27日(米国時間)の早朝にランサムウェアの攻撃を受け、全米の施設でデジタルネットワークの使用を停止した。ランサムウェア攻撃とは、標的とするシステムのプロセスを停止させてデータを暗号化し、解除のための身代金を求めてくる攻撃手法だ。
状況が悪化するにつれ、この攻撃の影響で患者がほかの救急救命室や施設に搬送されたり、予約や検査結果が遅延したりといった事態が生じているという。UHSの施設で働くある救急救命士は、この攻撃によって病院はすべて紙文書で処理するシステムへと移行したと『WIRED』US版の取材に対して語っている。
このニュースを最初に報じた「Bleeping Computer」の取材に応じたUHSの社員は、今回の攻撃には通称「Ryuk(リューク)」と呼ばれるランサムウェアの特徴が見られると説明している。2018年に出現したRyukは、ロシアのサイバー犯罪者とのつながりが広く指摘されている。Ryukは通常、被害を受けた企業からハッカーが巨額の身代金をゆすり取ろうとする、いわゆる「大物狩り」に使用される。
紙文書による業務へと緊急移行
UHSによると、同社は社員数が約90,000人で、毎年350万人の患者を治療している米国最大級の病院およびヘルスケアのネットワークを有するという。
「あらゆることに紙文書を使っています。なにしろ、コンピューターは完全にシャットダウンしていますから」と、UHSの社員は語る。「紙文書でも業務は回っています。もちろん、発注書や薬剤などの紛失がないようにするために、記録すべき書類は増えるのですが…。救急救命室(ER)での患者の治療は、いまもほとんど変わらずに続いています。ERは患者が病院で最初に運び込まれる場所ですから。すでに病棟にいた患者のことは心配ですが、誰もが普段以上に奮闘しています」
こうした状況を受けてUHSは、「わたしたちの施設はオフライン文書による手続きなど、あらかじめ構築していたバックアップ・プロセスに移行しています」とのコメントを出している。『WIRED』US版は同社にさらなるコメントを求めたが返信はなく、ランサムウェア攻撃だったかどうかの確認は得られなかった。
それでも同社のコメントでは「ITセキュリティの問題により、UHSのあらゆる施設のITネットワークが現在オフラインとなっている」ことを認めている。一方で、患者と社員のデータが攻撃によって侵害された形跡は見られないという。
相次いで狙われる病院
大規模な組織に対するランサムウェア攻撃は2010年代半ばから広がり始めたが、ここ数カ月で攻撃のペースが増しているようだ。特に病院はネットワークがダウンすると患者の身が危険に晒されることから、かねて絶好のターゲットにされてきた。すでにUHSのほかにもオハイオ州のアシュタブラ郡医療センターとネブラスカ・メディシン病院がランサムウェア攻撃の被害にあっており、システムがシャットダウンして患者への医療が脅かされた。
そして今月に入ってドイツのデュッセルドルフでは、ある病院がランサムウェア攻撃を受けたことで、生死にかかわる状態だった患者が遠くの施設への搬送を余儀なくされて死亡した。これはランサムウェア攻撃の副次的影響によって患者が死亡した最初の例かもしれない。
「こうした事例は極めて憂慮すべきものです。命にかかわる影響を及ぼす可能性がありますから」と、ウイルス対策企業Emsisoftの脅威アナリストのブレット・キャロウは言う。「事態はこれまでと同様に、それどころか、むしろこれまで以上に悪くなっていると思います」
ロシアの犯罪集団が関与?
ランサムウェアのRyukは、出現した当初は北朝鮮ハッカーによるものとされていた。しかし現在は多くの研究者が、ロシアのサイバー犯罪者によるものとしている。
Ryukは、まずフィッシング攻撃によってターゲットをトロイの木馬に感染させ、次にターゲットのデータを秘かに抽出してRyukへの感染を引き起こすことが多い。だが、このランサムウェアは生みの親だけでなく、いくつかの分派によっても使用されているようだ。
このためマルウェアの存在だけで活動を追跡し、関係を明らかにすることは困難になっている。2018年と19年を通して最初にこのランサムウェアを使用したハッカーは4月に姿を消したものの、最近になって再び現れている。
「もともとのハッカーがしばらく姿を消したあとに戻ってきて、攻撃している徴候が見られます」と、Emsisoftのキャロウは指摘する。「攻撃数が急増しています。以前からそうなのですが、ハッカーたちは(ターゲットとして)さまざまな事業体だけでなくヘルスケア企業を好むのです」
生死にかかわる状況
Ryukはヘルスケア分野だけでなく、ガーミンやレノボ、物流テック大手のピツニーボウズ、大手新聞社のトリビューン・パブリッシングといった大企業や米国各地の数々の地方自治体を襲ってきた主要ランサムウェアの一派のひとつである。ランサムウェアを駆使する犯罪者集団のなかには、パンデミックの間は病院を襲わないと誓っている連中もいる。しかし、Ryukを用いるハッカーたちは、そのような約束はしなかったのだ。
身代金の支払いを禁止すべきだと主張する研究者もいる。身代金という動機を減らすことが、いまランサムウェアの増加を食い止める唯一の対策だというのだ。しかし、この提案は物議を醸してきた。攻撃を受けている最中に通常の業務へ戻ることには、高い危険が伴うからだ。ターゲットが重要なインフラやヘルスケア関連の事業体の場合は、なおさらだろう。
「これは極めて重要なことです。病院を狙おうとするのは非常に悪質なことです」と、UHSの救急救命士は語る。「生死にかかわる状況なのですから」
※『WIRED』によるハッカーの関連記事はこちら。
TEXT BY LILY HAY NEWMAN