ランサムウェアの脅威

今回は、ランサムウェアの脅威について、お話ししたいと思います。

つい最近、大阪府の大阪急性期・総合医療センターが、「ランサムウェア」と呼ばれる身代金要求型のコンピューターウイルスに感染し、金銭を要求されました。

医療センターでは、10月31日午前から電子カルテが閲覧できなくなりました。サーバー機器の画面には、システムを復旧する見返りとして暗号資産のビットコインを要求する文言が表示されました。

現在（11月8日）に至ってもシステムは復旧していません。

医療センターでは、電子カルテシステムを12月中旬までに再構築する方針のようですが、他のシステムの接続などを経て電子カルテシステムが全面的に復旧するには、年明けの1月まで掛かるそうです。

情報セキュリティの大切さについては、「ようこそ部局長室へ」で、昨年12月にも2回に渡って取り上げました（セキュリティーポリシーの記事・三層分離の記事）。そこでは、徳島県のつるぎ町立半田病院がランサムウェアによるサイバー攻撃に遭い、システム復旧に2億円以上の費用がかかったことを伝えました。真偽のほどは定かではありませんが、最近の一部メディアの報道によると、半田病院がシステム復旧のため、IT業者に7,000万円を支払い、データを復元してもらったところ、後に犯罪者集団が身代金3万ドル（450万円）を受け取ったと主張していて、データを復元したIT業者が犯罪者集団と裏で取引していたのではないか、という疑惑も生じています。

• 情報セキュリティーの強化について：1.セキュリティーポリシー
• 情報セキュリティーの強化について:2.三層分離による運用

このことから、身代金を支払ったかどうかという真偽とは関係なく、ランサムウェアに感染してしまうと、自前でシステムを復旧するにしても、身代金を払うにしても多額な代償を払う結果が待っているということがわかります。

静岡県でも10月27日に東部の医療機関が、ランサムウェアによるサイバー攻撃を受け、電子カルテが一部使用できなくなっており、「データを暗号化したので、解いて欲しければ金銭を払うこと」と英文のメッセージが届いたと、11月5日、メディアで報じられました。

全国的に、特に医療機関でのサイバー攻撃被害が後を絶ちません。

どうしたら、ランサムウェアに感染しないようにできるのでしょうか。

ランサムウェアへの対策

最も効果的と思われるのは、システムをインターネットという脅威にさらされやすい空間から切り離すこと、それが出来ない場合は、インターネットに繋いだ上でサイバー攻撃を受ける可能性をできるだけ低くするための防御を行うことです。（※それでも完全な防御はありませんが・・・）

今回の大阪の医療センターでは、同センターに給食を納入している業者のシステムからウイルスが侵入した可能性が高いとの調査結果が明らかになってきました。栄養給食管理システムと電子カルテシステムが接続されており、給食サービスの提供元でシステム障害が発生した約40分後に電子カルテシステムに不具合が起きています。

また、業者のサーバーは、昨年の徳島の病院と同じ会社のVPN（仮想私設網）装置を利用していました。ソフトウェアが旧式だったことから脆弱性を突かれ、ウイルスの侵入を許したとみられるそうです。

このように、思いも寄らないところからウイルスは侵入してきます。

不審なメールを開くだけが侵入経路ではありません。防御対策を怠っていると、システムの脆弱性を突かれて、ウイルスの侵入を許すこともあります。各機器のソフトウェアは最新のものに更新していかないと侵入される可能性は高くなってしまいます。

静岡県のセキュリティ対策の考え

静岡県はセキュリティ対策として、下図のように三層分離を行っており、自治体情報セキュリティクラウドは、自治体からインターネットに繋がる接続口に設置され、門番のような役割を果たしています。外部から自治体側のネットワークを守るとともに、自治体側から外部にデータが流出しないように監視を行っています。

それでも、これだけの防御をしていれば完璧だ、と思っては間違いだと思います。完璧な防御はないのです。

セキュリティの費用もそれなりに掛かりますが、それ以上に「もしもその情報が漏洩したら」とか「システムの不具合で業務に支障を来すようなことが何日も続く」ことを考えたら、セキュリティ対策への費用は必要経費です。

それは、セキュリティ対策だけではなく、システム運営全般にも言えることで、費用を削った結果、障害が頻発したり、障害発生後復旧までに時間がかかってしまうような事態は避けなければなりません。

話はそれますが、全国の一部自治体は、今、この三層構造のαモデルから、より使いやすさを追求し、民間企業とのつながりも考えた上で、インターネット系に寄ったβ’モデルへの移行をしようとしています。静岡県でもそのような方向性を検討する必要があると考えています。

しかし、昨今のサイバー攻撃の状況を鑑みれば、そう易々とそちらに寄っていくことについて、二の足を踏んでしまいます。行政が持つ情報は、一民間企業とは異なり、住民の個人情報をはじめ、非常に重要な情報が多く、その情報を持つ我々にはそれだけの責任があります。

私は、既存のαモデルと、β’モデルとで仕事のしやすさを比べてどう進めていくのかについて、生産性を追求はしたいけれど、慎重にならざるを得ないと思っています。（一気にβ’モデルではなくαモデルの環境の中で、まずはできることからすすめていくなど。）

今回の大阪府のケースを受けて今一度、静岡県としても医療機関及び医療関係団体に対して、サイバー攻撃等から自らの身を守ることが重要だと言うことをお知らせしました。

• 医療機関におけるセキュリティ対策について（通知） （PDF 62.0KB）

病院関係者だけでなく、中小企業の皆様も、セキュリティ対策にお金を掛けることはもったいないと言う考え方があると思いますが、これからの時代は、セキュリティ対策は必要な経費と考え直して、対応していく必要があると思います。