12月中旬よりカナダ・トロントのSickKids小児科専門病院が標的になっていたサイバー攻撃について、犯人にツールを提供していた犯罪グループが異例の謝罪を表明し、ランサムウェアの解除キー提供を申し出ました。理由はこの攻撃が犯罪グループの「ルールに違反」していたからとのことです。
近年、コンピューターネットワークを一斉に暗号化・ロックして、その解除キーと引き換えの身代金を要求するランサムウェアによる攻撃は多様化・巧妙化しています。LockBitを使うサイバー犯罪グループは「パートナー」と称する別のグループに攻撃インフラを提供し、パートナーが獲得した身代金から手数料(20%)を徴収する仕組みを構築していることが知られています。セキュリティ情報サイトBleepingComputerはこれをRaaS(ransomware-as-a-service)と表現しています。
SickKids病院への攻撃は昨年12月18日に発生し、診療業務が遅滞するなどの問題が発生しました。病院はランサムウェアによるコンピューターのロックを解除するコードへの金銭支払いを拒否。地道な復旧作業によって、12月29日には優先されるシステムの50%程度が回復したと発表していました。
そして、この年越しの週末に、サイバー犯罪グループがSickKids病院への謝罪と解除キーの無料提供を行うと声明文を出したことがセキュリティ研究者Dominic Alvieri氏のツイートで明らかになりました。
この犯罪グループは、関係者が命を落とすような企業や組織へのランサムウェア攻撃は禁止していると主張しています。医療関係の範囲では、たとえば製薬会社や、歯科医、形成外科医といった科目を専門とする病院は攻撃を許可するものの、心臓病やその他重篤な病気、怪我に関する科目や、産婦人科など命に関わる医療機関への攻撃は禁止だと、そのポリシーを説明。また、医療機関から患者の個人情報といったデータを盗み出すことも禁止しているとしました。
SickKids病院は1日にこのグループの声明を確認し、セキュリティ専門家とともに、提供された「解除キーの使用を検証・評価している」としました。もちろん、金銭の支払いはしていないとも述べています。またすでに復旧作業は60%に達したとしました。
ただ、犯罪グループがポリシー違反であるSickKids病院への攻撃を関知し、解除キー提供に2週間もかかった理由は明らかにされていません。
またBleepingComputerは、このサイバー犯罪グループが以前にも総合病院を標的とした攻撃に関わったものの、解除キーの提供を申し出なかったことを指摘しています。このときは病院が支払いを拒否した結果、患者データの流出にまで至りましたが、グループはコメントの要請にも応じませんでした。
無償で解除キーの提供を申し出たことで、ランサムウェアを使うサイバー犯罪グループにもいいところはあるじゃないか…と、一瞬思いそうになるものの、そもそもマルウェアを仕掛けて業務を妨害、金銭をせびること自体が認められるものではありません。
SickKids病院に関しても、2週間にわたって診療業務に支障が出ており、解除キーを無償で提供しただけで手打ちとせず、セキュリティ対策の強化だけでなく法執行機関による追跡や捜査によって、サイバー犯罪グループが甘い汁を吸えない世の中になっていって欲しいところです。
ちなみに、LockBitによる攻撃は日本国内でもこれまでに複数の医療機関がターゲットになっており、決して対岸の火事ではありません。