サイバー恐喝グループが、医療サービスプロバイダー2社から盗んだ情報を公開し金銭を恐喝しようとしたと報じられました。2月5日、NBCニュースは、有名なランサムウェアグループが、ダークウェブ上のデータ流出Webサイトに数万個のファイルを公開したと報じました。これらのファイルの中には、スキャン済みの診断結果をはじめ、健康保険会社宛ての手紙や、従業員の身元調査結果を格納したフォルダなどが含まれていました。

これらのファイルは、フロリダ州に8ヶ所の拠点を持つLeon Medical Centersと、テキサス州に３ヶ所の拠点を持つNocona General Hospitalから流出したものです。Leon Medical Centersは、2020年11月に同社がマルウェア攻撃の標的となったことを2021年1月になってから発表しました。同社はこの攻撃に対処するために、影響を受けたシステムをオフラインにした上で、デジタルセキュリティの専門家と協力して同攻撃の全容に関する調査を開始しました。

この調査を進める中で、Leon Medical Centersは、このマルウェア攻撃の犯人が、氏名、社会保障番号、財務情報、健康保険データ、医療記録などの個人情報を含んでいる複数のファイルへのアクセス権を取得していたことが判明しました。

その後、同社は、米国保健福祉省の公民権局の公民権局に当該インシデントを報告し、このマルウェア攻撃が500名の個人に影響を与えたと伝えました。

サイバーリーズンのCSOであるSam Curryは次のように述べています。「サイバー犯罪者は、より大っぴらに病院の恐喝を試みるようになっており、今や多くのグループが、病院が身代金を支払わない場合にはその病院の機密情報を公開すると脅すようになっています。
サイバー犯罪者の手口は攻撃ごとに異なりますが、サイバー犯罪者の中には、機密データをダークウェブに投稿すると同時に、医師や看護師が医療行為や患者ケアを行うために必要となる重要なファイルを暗号化する者もいます。これは病院に二重の苦しみをもたらします。なぜなら、もし病院が犯罪者の要求に従わなければ、より多くの患者の生命が脅かされることになるからです」。

しかし、このような事態はNocona General Hospitalには起こらなかったように見えます。たとえば、本校執筆時点では、公民権局のポータルに、Noconaのインシデントに関するデータは公開されていません。また、NBCニュースも、Noconaはランサムウェアの被害を受けていないように見えると報じています。

もしそれが事実であれば、攻撃者は、マルウェアを使って被害者である組織のデータを暗号化し身代金の支払いを要求する前に、被害者組織の情報を公開するという異例の措置を取ったように見えると、NBCは指摘しています。

Noconaの代理人であるBryan Jackson弁護士は、NBCとの電話で次のように話しています。「犯人が身代金要求書を送ってこなかったとは断言できません。また、我々が身代金の要求書を開かなかったとも断言できません」。

本稿執筆時点では、Noconaのサイトにはデータ窃盗やランサムウェアに関する記述はありませんでした。

攻撃とそのコンテキストに関する考察

上述した2つの攻撃は、ランサムウェアの攻撃者が、今やますます医療機関を標的とした活動に力を注ぐようになったことを示しています。一時期は、事態はその逆になるかと思われていました。

Bleeping Computerによる2020年3月の報告では、複数のランサムウェアギャングが、コロナウイルス（COVID-19）のパンデミック間は医療サービスプロバイダーを標的にしないことを表明したと伝えられていました。しかし実際には、これらの攻撃者の多くがその後すぐにこの約束を破っており、それどころか、攻撃者の中には、マルウェアのペイロードをより迅速に病院ネットワークに展開するための取り組みを強化した者もいました。

ウォールストリートジャーナル紙が報じたように、攻撃者たちがこのようなことを行ったのは、被害者がCOVID-19の危機の只中において自分たちの情報を必要としていることを知っていたからです。つまり、攻撃者たちは、完全な身代金要求を迅速に満たす可能性がより高くなったと考えたのです。

このような活動が2020年に非常に広まったため、2020年10月にサイバーセキュリティインフラセキュリティ庁（CISA）は、「米国の病院や医療提供者に対するサイバー犯罪の脅威が高まり差し迫ったものになっている」との警告を発表しました。Emsisoftの記事によれば、最終的にランサムウェアアクターは、2020年全体を通じて560の医療機関を標的とすることに成功したと言われています。

Curryは、これらのサイバー攻撃者は罰せられるべきだが、それが実現される可能性は低いと指摘しています。

Curryは次のように述べています。「騙されてはなりません。パンデミック時であろうとなかろうと、意図的にかつ堂々と病院を攻撃しているサイバー犯罪者に共感するのは間違っています。
標的型のサイバースパイ活動や、医療業界の最前線にいる組織への攻撃は、戦争行為と見なすことができます。このような最新の攻撃の背後にいる犯罪者を法廷に引きずり出し、陪審員の目の前で法による裁きを受けさせる必要があります。しかし、残念ながら、これらの攻撃は外国を起点としているため、犯人を逮捕できる可能性は極めて低いと思われます」。

医療機関がランサムウェアから身を守るには

2020年に起きたことは、医療機関がランサムウェア攻撃から身を守る必要性を浮き彫りにしています。医療機関がこれを行えるようにする唯一の方法は、自らのデジタルセキュリティ体制に対してプロアクティブなアプローチを取ることです。この見解にはCurryも同意しています。

Curryは次のように述べています。「いかなる病院も、やる気にあふれた熟練したサイバー犯罪者を、彼らが狙いを定めたネットワークにアクセスさせないようにすることは不可能です。しかし、病院が自らのネットワーク内で常に脅威ハンティングを行うことで、リスクを劇的に減らし被害を最小限に抑えることは可能です。これにより、悪意ある行為を素早く発見することで、攻撃者が持つ優位性を覆し、サイバー防御者が攻撃者よりも優位に立てるようになります」。

医療機関はサイバーリーズンを利用することで、これを実現できるようになります。具体的には、攻撃が深刻な侵害にまでエスカレートする前に、攻撃の初期段階を検知する手段として微妙な行動情報（IOB）を活用することで、後ろ向きの痕跡情報（IOC）が持つ限界を超えることが可能となります。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/