第38回 ランサムウェアの真実

昨年、国内でのランサムウェアの最大の話題は徳島県つるぎ町立半田病院の事案と言っても良いでしょう。直接的な身代金(ransom, ランサム)の支払いはなかったものの、復旧に二か月を要し、その二か月間の復旧会社、そして電子カルテのベンダー、そのベンダーとの仲を取り持つ、運用管理を担う地方地元ITベンダーの対応が有識者会議の報告書によって明らかになり、議論を呼び起こしました。

ランサムウェア自体による被害についても半田病院以降、国内の病院に対してでさえ次々と感染、被害事実が公になり、改めて2022年3月にはトヨタ自動車の主要取引先である小島プレス工業がランサムウェアの被害に遭い、小島プレス工業の問題だけにとどまらず、トヨタ自動車の国内全工場が丸一日停止する等、サプライチェーンとしてのランサムウェア被害の実態も改めて話題となりました。

余談ですが、昨年10月末の半田病院の事案以降、2022年6月、また同じ徳島県内の鳴門山上病院がランサムウェアの被害に遭いました。同じ種類のLockbit2.0というランサムウェアの被害です。鳴門山上病院に関しては、翌日にはほぼ復旧しています。何が異なったのでしょうか。実は鳴門山上病院の事業担当の医師が、半田病院の事業担当の医師と同級生で、被害に遭う少し前に半田病院の事業担当者の講演を聞いていて、同級生としての会話から「オフラインバックアップを取るように!」と強く勧められ、その指示に従ったところ、週末のバックアップを取ってまもなく、ランサムウェアに感染し、事実上、一部のデータのみが紛失(暗号化)しただけで、復旧が容易となったのです。

オフラインバックアップとは、ネットワークと物理的に切り離して、バックアップを取ることです。物理的に切り離されているので、ランサムウェアの感染によって暗号化、すなわちデータが破壊されることはないのです。半田病院ではバックアップを取っていたものの、オンラインバックアップという、ネットワークにつないだ状態で定期的にバックアップを取っていたことから、バックアップ自体も破壊されてしまいました。

そのランサムウェアにおける最大の脅威は二重の被害をもたらすことにあると言われています。一つは事実上のデータの破壊(暗号化)です。身代金を払わなければ復旧できない、つまり暗号化を解く復号鍵を渡さないとして脅迫することです。身代金を払う払わないの問題は改めて議論しましょう。一般的にここでは支払いを拒否すすることとすると、その復旧はオフラインバックアップを適時取っていなければ非常に困難であると言わざる得ません。もう一つの被害は情報漏えいとその公開です。つまりランサムウェアを仕掛けた犯罪者は、データを暗号化するだけでなく、暗号化する前のデータを盗み取り、それを公開する、あるいは他者に売り渡すと言って脅迫するのです。被害者にとっては二重の被害、犯罪者にとっては二重の脅迫になるのです。

このランサムウェア、上記のような大きな事件が昨年来多発し、不幸にも知名度を上げる結果となりましたが、一般にはその実態について必ずしも十分に理解されていません。

まずランサムウェアに感染し、データが暗号化されたからと言って、即座に復旧できないわけではありません。身代金を払うことなく、データを復元できる場合もあり得ます。ランサムウェアには数多くの種類があり、その中には、すでに復旧方法が解明されていたり、犯罪者側から復号鍵が公開されている場合もあるのです。特に古いタイプのランサムウェアの多くは復旧方法がすでに解明されています。ランサムウェアに感染したからと言って、すぐに悲観することなく、ランサムウェアの知識に長けた専門家に相談すべきです。

さらにランサムウェアに感染したからと言って、一瞬でデータが消えてしまう(暗号化されてしまう)わけではありません。データを暗号化するには一般の人が想像する以上に時間がかかるのです。50GB程度の大きさのファイルを暗号化するためには、ランサムウェアの種類によって異なり、ファイルの数やその構造にも依存し、またその感染したパソコン、サーバの能力にも寄るのですが、最短5分程度、場合によっては2時間近くかかるのです。半田病院クラスになれば、電子カルテ(画像データ含む)の大きさは1TB程度はふつうですから、最短でも数時間かかることになります。もしランサムウェアに感染し、それが暗号化しだしたとしても、初期の段階で止めることができれば、被害は最小に抑えることが可能になるでしょう。

また、データが盗み取られる問題でも、一瞬にしてデータが盗られるわけではありません。通信速度は有限なのです。もし光ファイバを使ったインターネット接続を行っていたとしても、通常最大1Gbpsの速度です。つまり1秒間に、130MBしか盗み取ることはできません。先ほどの50GBのデータであれば約7分かかるのです。通常、データを正常に送る先は限られますから、あらかじめ登録されたところ以外に大量のデータを送ろうとしている場合は、すぐに判明し、遮断することにより、一部のデータの漏えいで被害を最小にくい止めることが可能になります。

このようにランサムウェアは万能ではなく、ランサムウェアゆえの固有の欠点を持つことから、それを利用し、ランサムウェアの感染を防ぐのではなく、オフラインバックアップを含めて、感染することを前提に被害を最小にくい止めることに主眼を置けば、対策はいくつもあるのです。