ランサムウエアの事件の傾向と対策

講演で、「サイバーセキュリティの現在地-ランサムウエアの対応を中心に-」ということでお話することになりましたので、そのための題材として、ランサムウエアの事件簿をまとめてみたいと考えています。

まず、これの点については、JNSAさんの調査で、「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書」(2021)を公表しています。詳しくは、こちらも参照いただけるといいかと思います。この報告書の後に、我が国でも大規模な事件が報道されるようになってきていて、そのフォローという趣旨もあります。

1 2019年くらいまで

2019年ころまでは、わが国において大きな事件が発生して、報道されるということは、あまりなかったように思います。もっとも、奈良県宇陀市立病院のランサム被害(報告書)などがあります。

外国では、(米国) 2020年SamSamランサムウェア事件(2018)、(英国)NHS事件(2017)などが発生して、報道されていました。

2 2020年

2020年からは、わが国においても新聞等において報道される大きな事件が発生しています。

2.1 ホンダの社内ネットワーク障害(2020年6月)

これは、2020年6月に発生したランサムウエア事件です。記事としては、「ホンダ、サイバー攻撃受け社内ネットワーク障害 海外4地域で生産停止、有給休暇呼びかけ」「ホンダ襲った標的型ランサムウエアの正体、3度目のサイバー攻撃で世界9工場が停止」などがあります。

piyologさんのまとめは「 国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた」です。

事案の内容

ホンダの社内ネットワークがサイバー攻撃を受け、コンピューターサーバーや社内システム、電子メールなどの利用に障害が発生しました。海外の生産システムも影響を受け、製造や販売、開発活動の復旧に全力を尽くしていると説明されています。

攻撃の詳細

ホンダの内部サーバーの一部に外部から侵入された形跡があり、「ウイルスが拡散された」とされていますが、詳細は公表されていません。

攻撃手法:

セキュリティー専門家によれば、攻撃には「Ekans」というランサムウエアが使われた可能性が高いとされています。このランサムウエアは産業の管理ネットワークシステムを攻撃するために設計されており、ホンダの生産が一時的に止まる事態となりました。

2.2 CAPCOM 二重恐喝ランサム事件(2020年11月)

これは、2020年11月に発生した事件でランサムウェアの攻撃によるネットワーク上の機器に対するファイルの暗号化であることが判明した事件です。

会社の時系列による報告はこちらです。

事案の内容

2020年10月、カプコンの北米現地法人(Capcom U.S.A., Inc.)が保有していた予備の旧型VPN装置がサイバー攻撃を受け、社内ネットワークに不正侵入されました。
攻撃者は北米を経由してカプコンのシステムに侵入し、米国および日本の機器を乗っ取り、個人情報を取得しました。

攻撃の内容:

攻撃者はランサムウェア「Ragnar Locker」を使用して、カプコンのサーバーやシステム内のデータを暗号化し、利用不可能にしました。
データを復旧させる代わりに、攻撃者は約1TB分のデータをダウンロードし、カプコンに1100万ドル(約11億5500万円)分のビットコインを「身代金」として要求しました。
カプコンは要求に応じなかったため、個人情報や内部資料を含むデータが段階的に流出する事態となりました。

3 2021年

2021年には、ランサムウエアによる被害が、注目すべきセキュリティの脅威として取り上げられるとともに、種々の大きな事件が報道されています。

3.1 2021年 情報セキュリティ10大脅威

IPA(情報処理推進機構)が毎年、「情報セキュリティ10大脅威」を公表していますが、2021年には、はじめて、ランサムによる被害が、一位になりました(2021年の10大脅威は、こちら)。その後、2022年、2023年と一位は、変わっていません。

情報セキュリティ 10 大脅威(組織)において

1位 ランサムウェアによる被害~組織を狙ったランサムウェアの攻撃が増加~

とされています。内容においては、「攻撃者」「被害者」「脅威と影響」「攻撃手口」「事例または傾向」「対策/対応」にわけて論じられています。

3.2 2021年セキュリティ事件まとめ記事

この点でのまとめ記事としては、「2021年セキュリティ事件まとめ 22年にも注意すべき脅威とは?」(ITmedia)がまとめています。

世界的には、なんといってもコロニアルパイプライン事件(2021年5月)になります。これについては、私のブログでも取り扱っていて、

を参照ください。バイデン大統領が、プーチン大統領にロシアの犯罪集団(ユニット)にたいして、取り締まりを要請したという事件でもあります。

わが国においては、

  • 富士フィルム
  • オリエンタルコンサルタンツ
  • ニップン(ランサムの被害とは公表していない)
  • リニカル
  • 町立半田病院

があります。

3.3 半田病院事件

新聞報道が続いたことや、報告書等が公表されていること、などから、半田病院事件は教訓としてふさわしいものであると考えられます。報告書(「徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書」)はこちらです。あと、技術編もあります

事件の経緯

2021年10月、徳島県つるぎ町にある町立半田病院がサイバー攻撃を受けました。この事件は、ランサムウエア(身代金要求型のコンピューターウイルス)に感染し、病院のシステムを攻撃して電子カルテなどのデータを暗号化しました

2021年10月31日の未明、半田病院のプリンタが勝手に英語で書かれた印刷物を出力し始めました。当初はコンピュータおよび周辺機器の暴走と考えられていましたが、その後、電子カルテの異常が報告され、ランサムウエア感染が判明しました(午前3時頃) 。この結果、 約8万5千人分の電子カルテが閲覧できなくなり、新規患者の受け入れが一時的に停止されました。復旧までの時間については、 約2カ月を要して(2022年1月4日 通常診療再開)、診療業務が感染前の状態に戻りました

攻撃手法

電子カルテを始めとした医療機器のメンテンナンス等を行う際に接続する VPN のみが侵入経路と考えられ、当該ネットワークにおいて VPN 装置の脆弱性が放置されていた事実、また脆弱性を使い取得された VPN 装置の管理者の資格情報がダークウェブで公開されていた事実を鑑みると、VPN 装置の脆弱性を悪用した侵入が考えられ、当該ネットワークを悪用して侵入した可能性が極めて高い。

とされています。

そして、感染したのは、Lockbit2.0 によるランサムウェア(身代金要求型ウイルス)であり、同ウイルスに感染し、患者の診察記録を預かる電子カルテなどの端末や関連するサーバーのデータが暗号化され、データが使用できない甚大な被害が生じたとされます。

実際の被害

  • 侵入としては、初期侵入/内部侵入となっている/Lockbit2.0 により暗号化/2018年までにオフラインで保管していたバックアップデータについては、復旧/業者が独自に復元に必要な手段を入手(?)/情報漏えいの可能性の高さ

実際の問題点については、このビデオ(https://mhlw-training.saj.or.jp/contents/)

  •  紙カルテの記録になれていない(災害時の紙カルテを出してきて、コピーしてのりをはりつける-2011年まで)
  • 従来の蓄積情報か使えない状態になる(診療レベルの低下)
  • 一冊のカルテの奪い合いになる
  • 他の部門とのでータ共有ができない
  • 記入間違いができないので、負担が大きい

などなど、があげられています。

被害総額は? 復旧・新たなシステム作り(2億円)/入院・外来制限による診療報酬の減収/などが考えられています。

4 2022年の事件

4.1 まとめ記事について

2022年におけるランサム事件については、「2022年ランサムウェア被害事例 警視庁の資料から見えることがあった(vol.10)」(電通総研)、「2022年のサイバー攻撃事例から振り返る サイバーリスク=ビジネスリスク」(トレンドマイクロ)、 などがあります。

ちなみに、警察庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」では、

令和4年中に警察庁に報告されたランサムウェアによる被害件数は230件(前年比で57.5%増加)と、令和2年下半期以降、右肩上がりで増加

とされています。

具体的な事件としては、上の電通総研の資料を参考にすると

  • デンソー
  • トヨタ自動車
  • ブリジストン
  • 三桜工業
  • 月桂冠
  • コニカミノルタ

など、があげることができます。

4.2 大阪急性期・総合医療センター

これらの事件のうち、報告書等でもって確認しうるものとして「大阪急性期・総合医療センター」を取り上げます。

大阪急性期・総合医療センター対するランサム攻撃の事件というのは、2022年10月31日早朝に発生したサイバー攻撃により、電子カルテを含めた総合情報システムが利用できなくなり、救急診療や外来診療、予定手術などの診療機能に大きな支障が生じたという事件です。

詳細については、報告書が公開されています。(「情報セキュリティインシデント調査委員会報告書について」)

発生の経緯

事件発生当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が発生していることが判明したため、幹部職員を招集して状況把握と紙カルテの運用など当面の診療体制の方針を決定しました。さらに、厚生労働省から派遣されたサイバーセキュリティ初動対応支援チームの専門家の協力を得て、原因の究明と復旧に取り組みました。約6週間後には電子カルテシステムを含む基幹システムを再稼働させ、診療体制が復旧しました。

攻撃の経緯

攻撃の経緯としては、報告書によれば、

1 給食事業者に侵入 給食事業者が設置・運営する給食システムに、情報基盤構築事業者がリモート保守のために設置したVPN機器の脆弱性を用いて侵入(漏洩され公開されていたID・パスワード情報を用いて侵入された可能性もある)。
2 2 給食事業者内探索・情報窃取

給食事業者内データセンターのID・パスワードが脆弱だったことから、攻撃者に容易に不正アクセスされ、その後、システム情報(IPアドレスやパスワード情報など)を窃取されたため給食事業者内での攻撃拡大。
3 病院給食サーバー侵入 給食事業者の端末から窃取した病院のサーバーの認証情報により、RDP通信を用いて、病院給食サーバーに侵入。ウイルス対策ソフトのアンインストールも実施。
4 病院内のシステム情報の窃取 病院給食サーバーを踏み台に、病院内の他サーバーの認証情報をツールを用いて窃取。なお、病院給食サーバーと他サーバーのID・パスワードは共通で窃取は容易。
5 他サーバー侵入 病院給食サーバーで窃取した他サーバー認証情報により、電子カルテシステムなどの基幹システムや他のシステムのサーバーに侵入。
6 クライアントへのログオン試行 侵入されたサーバー等を経由して、クライアントにログオン試行した可能性。
7 ランサムウェア感染 各サーバーでランサムウェア感染、永続化を行い、ランサムノート(身代金要求文書)を表示

とされています。

損害

電子カルテを含む総合情報システム 基幹システムサーバーの大部分がランサムウェアにより暗号化。PC端末(院内に約2,200台)も不正アクセスの痕跡あり。
⇒全てのサーバ、端末をクリーンインストール
基幹システムサーバ再稼働に43日間、部門システム含めた全体の診療システム復旧に73日間を要す
診療制限  2022年11月の診療実績 (前年同月対比) ※2022年12月は現在計算中
新入院患者数:558人(前年同月比33.3%)、延入院患者数:10,191人(前年同月比52.9%)
初診患者数 :465人(前年同月比17.9%)、延外来患者数:15,744人(前年同月比61.6%)
被害額    現在精査中 調査・復旧費用で数億円以上
診療制限に伴う逸失利益として十数億円以上を見込んでいる

となっています。

詳細については、報告書を検討していただくこととして、

サイバー攻撃によるシステム障害を想定したBCP(事業継続計画)はそれまで策定されていませんでしたが、当センターは大阪府の基幹災害拠点病院であり、さまざまな災害に対応するためにBCPを整備、更新しており、これまでの災害対応の経験を生かして、発災当日の正午には第1回の「大規模システム障害における事業継続対策本部会議(BCP)会議」を開催し、医療現場の状況の把握、当面の医療継続の方針の決定などを行いました。

とされていて、ランサムウエアをサイバー事件として捉えるよりも、 事業継続計画に対する事案として捉えることの重要性が指摘されていると認識します。

5 2023年の事件

5.1 まとめ記事について

2023年の傾向を示す記事としては「ランサムウエア被害、高止まり 23年はVPN経由が6割」「2023年のサイバー攻撃事例から読み解く、法人が備えるべき脅威」(トレンドマイクロ)などがあります。警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」は、こちら。 これによると

令和5年におけるランサムウェアによる被害件数は197件(前年比で14.3%減少)であり、引き続き高い水準で推移している。
手口としては、データの暗号化のみならず、データを窃取した上、企業・団体等に対し「対価を支払わなければ当該データを公開する」などと対価を要求する二重恐喝(ダブルエクストーション)が多くを占める。

とのことです。ちなみに、このデータのページは、こちらです

IPAの「情報セキュリティ10大脅威 2024」は、こちら

網羅的な一覧は、見当たりませんが

  • エムケイシステム
  • ならコープ

が、名古屋港統一ターミナルシステムの事件以外に、IPAの10大脅威で取り上げられています。

5.2 名古屋港統一ターミナルシステム

これは、名古屋港全体でのコンテナ搬出入作業を一元的に管理するシステムである名古屋港統一ターミナルシステムで使用されている管理システムがランサムウェアに感染し、システムを構築する仮想サーバーとその物理基盤がすべて暗号化され、システムが使用できなくなったという事件です。この障害により、名古屋港全体でのコンテナ搬出入作業が約3日間停止し、物流に大きな影響を与えました。日本において、物理的な社会インフラがサイバー攻撃により大規模な被害を受けた初の事例といわれています。(東洋経済「物流停止「社会インフラ」狙うサイバー攻撃の衝撃 名古屋港のランサムウェア被害から学ぶこと」)

これについては、

また、今後の方策等については国土交通省が「コンテナターミナルにおける情報セキュリティ対策等検討委員会について」を開催しています。

事件の経緯

名古屋港統一コンテナターミナルシステム(NUTS)というのは、コンテナターミナルにおける全ての作業(コンテナ船積卸作業、プランニング、コンテナ保管管理、コンテナ搬出入管理、 ヤード作業管理、保税管理等)が統合管理され、効率的かつ機能的なオペレーションを実現するための仕組みで、名古屋港の5つのコンテナターミナルおよび集中管理ゲート(日本で唯一)が統一のコンピュータシステムで運用されています。2007年に現在の姿の基となるシステムがスタートし、機能を拡大しながら今日に至っています。

1日目

動作の停止の確認(午前6時30分頃)、脅迫文書が印刷される(午前7時30分頃)などの事実がありました。

「トラックの待ち行列が伸びていった」->トラック協会に連絡
システムが稼働しない(全滅) → 警察に相談し、ランサムウェア攻撃であることを認識

  • ターミナルのオペレーションを担う 機器に問題はなかったが、 システムの支援がないと (動かせても ) 動かせない
  • システムの復旧を急ぐとともに、復旧までの対処を決定
    1. 船卸→搬出はマニュアル作業で継続
    2. 既に搬入済みのコンテナはマニュアル作業で船積
    3. 新たな搬入は停止

2日目

物理サーバ復旧、仮想サーバの復元作業の開始

12時頃、仮想サーバの復元完了・ウイルスチェッーク開始など

3日目

復元完了、連携障害の解消、整合性の確認、復旧となります。

侵入経路

侵入経路については、明確ではないですが、

保守用VPN機器経由の可能性が高い

とされています(保守用には緊急時に即時に対応するためIPアドレスに制限をかけておらず、 IDとパスワードさえ合致すればインターネット 上で誰からでもアクセス可能な状態にあった)。

影響

影響としては

  • 荷役スケジュールに影響が生じた船舶37隻(マニュアル作業で荷役を行なったため最大24 時間程度の遅延が発生した。 )
  • 搬入・搬出に影響があったコンテナ約2万本(推計)
  • トヨタ自動車の愛知県と岐阜県にある 4つの拠点の稼働停止、アパレルメーカーにおける衣類の入荷遅延等

があげられています。これらの影響を抑えられた理由として

マニュアル作業により船舶との間の荷役が継続されたことで、名古屋港をスキッ プする船舶はなかったとのこと。なお、今回はシステム化以前のマニュアル作業の経験者がいたため、マニュアル対応ができた。

とのことがあげられています。

6 傾向と対策

6.1   近時の傾向

攻撃についての傾向については、攻撃者のユニット化・攻撃面の変化・対象の広がり・「ノーウェアランサム」による被害が指摘されています。

攻撃者のユニット化

これは、攻撃者側が、それぞれゆるやかなユニットのもとで、犯罪を実行するということをいいます。たとえば、Revillの仕組みにしても のように犯罪ユニットであり、分担化され、しかもゆるやかに結合されたものとなっています。

攻撃面の変化

どのような経路から攻撃されるかというのをアタック・サーフェスといいますが、ランサムウエアについては、これが進化しているという分析がなされています。これは、上記の2023年の2023年のサイバー攻撃事例から読み解く、法人が備えるべき脅威」(トレンドマイクロ)報告書によるものですが、2021年がVPNの脆弱(ぜいじゃく)性を悪用したネットワーク経由の侵入、2022年がサプライチェーンの弱点を悪用した他組織を経由した侵入、2023年がクラウド上のデータセンター内システム経由での侵入へと変わってきているということです。

対象の広がり

これは、どのようなシステムが対象にされているのか、という観点ですが、もともと医療機関に対する攻撃は多かったのですが、米国のコロニアルパイプライン事件(2021年)、わが国の名古屋港統一ターミナルシステム事件(2023)にみれるように、国民生活に関わってくる重要インフラが対象とされるようになってきているという点を指摘することができます。このような場合、国自体としても、国民の生活のインフラの維持という観点から

「ノーウェアランサム」による被害

ランサムウェアによる被害のほか、最近の事例では、企業・団体等のネットワークに侵入し、データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取した上で、企業・団体等に対価を要求する手口(「ノーウェアランサム」)による被害が、新たに30件確認された

とのことです。

6.2 対応について

対応については、

  • 危機管理・事業継続の応用
  • 身代金支払いと保険の問題(世界的に)
  • 復号ツールの利用の呼びかけ

が、注目されるようになっています。

危機管理・事業継続の応用

これについては、上記の半田病院・大阪急性期・総合医療センターの事案対応のケーススタディが参考になります。これについては、一般のBCPが、「自然災害を想定したもの」であり、それは、施設自体や機器、人員に影響が発生・自社・自組織だけでなく、周辺や地域で広く影響が発生という特徴を有しており、それと、サイバー攻撃を想定したBCP(複数(もしくは全面的に)システムが停止(しかも、長期間に及ぶ)・施設自体や機器、人員は影響なし・自社・自組織のみが影響)では、性質がことなり、それ独自の必要性が高まっているといわれることがあります(上記 国土交通省の報告書(簡易版) )。

しかし、それでもその本質は、BCPであることには、違いがなく、ITシステム自体に焦点をおく、インシデントレスポンスという観点よりも、BCPのバリエーションとして認識するというのが、妥当であろうということになります。

身代金の支払いの可否について

この論点については、私のブログでまとめています。

我が国において、身代金の支払い自体が法に触れるかという点ついていえば、禁止されている支払いの仕方が存在することは争いがないでしょう。これについては、「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書」でもふれています。詳細については、そちらを参照いただくこととして、我が国における資金洗浄/テロリストの支援を規制する法律として、犯罪による収益の移転防止に関する法律(平成19年法律第22号)(以下、犯罪収益移転防止法という)、組織的な犯罪の処罰及び犯罪収益の規制等に関する法律(平成11年法律第136号)(以下、組織的犯罪処罰法という)などがあります。また、外国為替及び外国貿易法(外為法)についても検討する必要があります。

経済制裁対象との関係では「サイバー攻撃集団が経済制裁対象に、ランサムウエアの身代金支払いが違法になる場合も」の記事があります。ラザルスグループが、支払い禁止の対象になっています。

もっとも、ランサムウエアの被害者が、これに対して支払う場合については、上記の法律で送金をなすことが禁止されている団体であることを了知している場合は、あまり考えられないでしょうが、法的には、上記の場合について、明確に禁止されていることは了知しておく必要があります。

微妙な問題といえるのが、「反社会的勢力の排除ポリシーとの関係について」になります。反社会勢力とは、暴力、威力と詐欺的手法を駆使して経済的利益を追求する集団又は個人をいいます(以下の指針1頁 脚注)。具体的には、平成19年6月19日の、犯罪対策閣僚会議「企業が反社会的勢力による被害を防止するための指針」の申し合わせをもとに、これの遵守がもとめられています。
この指針は、

1 反社会的勢力による被害を防止するための基本原則

2 基本原則に基づく対応

(1) 反社会的勢力による被害を防止するための基本的な考え方、

(2) 平素からの対応、

(3) 有事の対応(不当要求への対応))

3 内部統制システムと反社会的勢力による被害防止との関係

から成り立っています。組織としては、脅威インテリジェンス情報のための情報購入やランサムウェアへの支払いを考えると、この申し合わせとの関係を検討する必要がでてきます。

ここで特に検討されるべきは、(3) 有事の対応(不当要求への対応)の問題であって、上記指針においては

反社会的勢力への資金提供は、反社会的勢力に資金を提供したという弱みにつけこまれた不当要求につながり、被害の更なる拡大を招くとともに、暴力団の犯罪行為等を助長し、暴力団の存続や勢力拡大を下支えするものであるため、絶対に行わない

とされているところです。しかしながら、上記脅威インテリジェンス情報のための情報購入やランサムウェアへの支払いについては、それ相応の合理性もあり、この衝突について、どのように考えるべきかということになります。

身代金と保険の関係

これについては、まず、我が国においては、

ランサムウェアの被害によって支払った身代金はサイバー保険の補償対象になりません。

ということが、前提になります。(「サイバー保険に関するQ&A」)

では、外国ではどうか、ということになると、一律に排除されているわけではないので、いろいろな法的な議論が起きています。その点については、私のブログでもカバーしているところです。

資料としては、

があります。

個人的には、

AXAをはじめとするサイバー保険のプロバイダーの多くが、自ら契約したり、引き受けを検討しているリスクの高い契約の影響をできる限り低減しようとするため、契約の締結や更改が難しくなっていく

とか

(略)一部の保険会社は今後、契約者に対して統制の適切さを証明するような証拠や妥当性を要求するようになるだろうという

という方向のもと、保険料が、企業のサイバー対応に応じて、変わっていくということでうまくいくといいのかなと思ったりもしています。

復号ツールの利用について

LockBitに対しては、

サイバー特別捜査隊が、ランサムウェアLockBitによって暗号化された被害データを復号するツールを独自開発し、令和5年12月に同ツールをユーロポールに提供しており、令和6年2月、世界中の被害企業等の被害回復が可能となるよう、ユーロポール等と共に警察庁において、日本警察が開発した復号ツールについて情報発信し、その活用を促す旨の発表を行った。

ということだそうです。

関連記事

  1. Cycon 2019 travel memo day1 (4)
  2. パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)…
  3. Cycon 2019 travel memo day3 fina…
  4. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  5. 「自民、サイバー捜査の強化提言へ ウイルス活用も」などの記事
  6. GCSCスタビリティ報告書 分析3
  7. 「インターネット上の海賊版対策に関する検討会議」6回議事録
  8. 「情報セキュリティベンダに対する刑事法の萎縮的効果と法律」の講演…
PAGE TOP