講演情報
[15-O-O005-04]身代金はビットコインで4万$!! サイバー攻撃感染対策の考え方はコロナもPCも基本は同じだった
*真鍋 和好1 (1. 岡山県 夕なぎケアセンター)
直近は大手メディアに17億円の要求、岡山の医療機関では4万人(最大想定)の個人情報流出が話題となり、かつては徳島県や 大阪府の医療機関にも大ダメージを与えたサイバー攻撃。実は高齢者施設も狙われている。全国ニュースでも大きく取り上げられたこれらの事件と同時期の令和4年7月1日に岡山で発生した老健施設へのサイバー攻撃について、経験者が衝撃の事実を語る。
令和4年7月1日の明け方、それは起こった。誰も気づかないまま時間が経過し、浸食は徐々に広がっていた。夜勤者はクラウド型の記録システムを使うのみで、ファイルサーバーにアクセスすることがなく発見が遅れた。異常に気付いたのは朝7時ごろ、出勤した職員から一報があってからだ。「パソコンにログインできない。」、最初はその1台が故障しただけと思ったが、出勤した職員から次々に同じ訴えがある。次にサーバーの故障だと考えた。すでに出勤していた事務長が慌ててサーバー室に向かう。サーバー画面がおかしい。黒い画面に大きく「Lock Bit Black」と書かれ、短い英文のメッセージが表示されたまま動かない。これは異常だ。出勤中のシステム担当に連絡がある。担当も最初は何が起きているか理解できないまま、社内インフラ業者のSEの携帯番号を教えることだけしかできなかった。SEに状況と画面に表示された文字を伝えると、彼はある一つの可能性を指摘した。それは最悪の可能性だった。「サイバー攻撃」、「ランサムウエア」、「身代金の要求」。ニュースの中で聞いた言葉が現実に飛び交う。それでも理解が現実に追いつかない。直ると思い込んでいる。とにかくまずはSEの指示に従いLANケーブルを全て引き抜く。2つあるバックアップデータを確認するが、これらも全て開くことができない。
その後、社内インフラ業者の営業マンからの提案で県警に連絡すると、昼前に10名近い刑事たちがやってきた。サイバー犯罪対策課の警部が差し出した名刺を見て、警察官も名刺交換をするのだなと呑気に考えていると、鑑識担当らしき刑事が一眼レフカメラを構えて現場写真の撮影を始めた。こちらはドラマでよく見るシーンだ。ただ一つ違うのはテレビの中の出来事ではないということ。ここに至ってやっと事の重大さが理解できた…と思ったのは大間違いで、ここから数か月に及ぶ本当の戦いが始まった。
営業マンもSEもここまで大規模な攻撃は初めての経験だという。とにかくネット検索で見つけたいくつかのデータ復旧会社の中からQ社という1社にあたりをつけて連絡をした。早速、Q社にサーバーを送り分析してもらうと、「Lock Bit3.0」という当時最新のランサムウエアの感染だという。ランサムウエアとはサーバー内の全データを暗号化し、その暗号解除キーをちらつかせて身代金を要求するというものらしい。まさに人質誘拐事件だ。いや人ではないので「データ質」か。この手の事件で記憶しているのは徳島の病院で起きたサイバー攻撃だ。復旧に数か月を要し、診療にも報酬請求にも支障が出た。しかし、我が法人はその時に狙われたシステムの脆弱性が判明して直ぐに保守業者から連絡があり、セキュリティの更新をしたはずだ。何故だろう。調べを進めると徳島の病院の攻撃に使われたのは「Lock Bit2.0」。その対策は済んでいるが、今回我々を襲ったのは「3.0」。IT業界は日進月歩、セキュリティ対策はいたちごっこというのは本当なのだなと妙なことに感心した。Q社担当から説明を受け、改めて表示されていた英文を読んでみる。「All your important file stolen and encryption(あなたの大事な全てのファイルは盗まれ、暗号化された)You must find○○○○README.txt find and follow the instruction!(あなたは○○○○README.txtを見つけて、その指示に従わなければならない)」と書かれているではないか。指示されたファイルはサーバーのデスクトップに直ぐに見つけることができた。しかし不用意に開くと何が起こるかわからない。Q社に相談すると調べてくれた。テキストファイルにはダークウエブのURL(ダークウエブ!まるで映画の言葉だ)が記載されているが、当然我々にアクセスする技術などなく、これもQ社に調べて貰った。そこには「暗号解除キーが欲しければビットコインで4万ドル(約500万円)払え、払わないときは盗んだ個人情報をダークウエブ上に公開するぞ!」との脅迫文が、ご丁寧に公開するダークウエブのURL(複数)と一緒に書かれているらしい。最悪だ。500万円は出せない金額ではないが、犯罪者に屈するのはいかがなものか。Q社に尋ねると、よくはないが会社の事情によっては払うところもある。しかし素人では交渉もできないので、その場合は交渉窓口となることもできるという。復旧に挑戦しても交渉しても多大な出費だ。しかも必ずデータが復旧できる保証はないし、復旧までにどれくらいかかるのかもわからない。いったいどうしたらいいのか。そんな時、併設診療所の保険会社の担当が営業に来た。皮肉にもサイバー保険の営業だ。一週間遅い。しかし、話しているうちに、サイバー保険に入っていなくとも、「サイバー攻撃相談窓口」は無料で相談を受けてくれるということを教えてくれた。困り果てていたので、すぐに連絡を取る。そこで次々と明らかになる衝撃の事実。なぜ、またいつから狙われていたのか。どうして防げなかったのか。なぜ身代金は500万円なのか。もし身代金を払ったなら何が起こるのか。そこに待ち受ける攻撃の嵐と二重脅迫の恐怖とは。信用できるデータ復旧会社を選ばなければならない理由とは。最初にするべきことは。身代金よりも圧倒的に高額なデータ復旧費用とは。個人情報はどこまで流出しているのか。今回の発表はこれらの回答とともに、システム復旧へのロードマップを示し、今後必要なサイバーBCPの重要性を考えるものである。
とにもかくにも当法人は最終的な経営判断により「身代金は払わない」、「データは自分たちで新しく作り直す。」という決断を下す。こうして、法人の25年に及ぶ蓄積されたデータはすべて失われた・・・。
その後、社内インフラ業者の営業マンからの提案で県警に連絡すると、昼前に10名近い刑事たちがやってきた。サイバー犯罪対策課の警部が差し出した名刺を見て、警察官も名刺交換をするのだなと呑気に考えていると、鑑識担当らしき刑事が一眼レフカメラを構えて現場写真の撮影を始めた。こちらはドラマでよく見るシーンだ。ただ一つ違うのはテレビの中の出来事ではないということ。ここに至ってやっと事の重大さが理解できた…と思ったのは大間違いで、ここから数か月に及ぶ本当の戦いが始まった。
営業マンもSEもここまで大規模な攻撃は初めての経験だという。とにかくネット検索で見つけたいくつかのデータ復旧会社の中からQ社という1社にあたりをつけて連絡をした。早速、Q社にサーバーを送り分析してもらうと、「Lock Bit3.0」という当時最新のランサムウエアの感染だという。ランサムウエアとはサーバー内の全データを暗号化し、その暗号解除キーをちらつかせて身代金を要求するというものらしい。まさに人質誘拐事件だ。いや人ではないので「データ質」か。この手の事件で記憶しているのは徳島の病院で起きたサイバー攻撃だ。復旧に数か月を要し、診療にも報酬請求にも支障が出た。しかし、我が法人はその時に狙われたシステムの脆弱性が判明して直ぐに保守業者から連絡があり、セキュリティの更新をしたはずだ。何故だろう。調べを進めると徳島の病院の攻撃に使われたのは「Lock Bit2.0」。その対策は済んでいるが、今回我々を襲ったのは「3.0」。IT業界は日進月歩、セキュリティ対策はいたちごっこというのは本当なのだなと妙なことに感心した。Q社担当から説明を受け、改めて表示されていた英文を読んでみる。「All your important file stolen and encryption(あなたの大事な全てのファイルは盗まれ、暗号化された)You must find○○○○README.txt find and follow the instruction!(あなたは○○○○README.txtを見つけて、その指示に従わなければならない)」と書かれているではないか。指示されたファイルはサーバーのデスクトップに直ぐに見つけることができた。しかし不用意に開くと何が起こるかわからない。Q社に相談すると調べてくれた。テキストファイルにはダークウエブのURL(ダークウエブ!まるで映画の言葉だ)が記載されているが、当然我々にアクセスする技術などなく、これもQ社に調べて貰った。そこには「暗号解除キーが欲しければビットコインで4万ドル(約500万円)払え、払わないときは盗んだ個人情報をダークウエブ上に公開するぞ!」との脅迫文が、ご丁寧に公開するダークウエブのURL(複数)と一緒に書かれているらしい。最悪だ。500万円は出せない金額ではないが、犯罪者に屈するのはいかがなものか。Q社に尋ねると、よくはないが会社の事情によっては払うところもある。しかし素人では交渉もできないので、その場合は交渉窓口となることもできるという。復旧に挑戦しても交渉しても多大な出費だ。しかも必ずデータが復旧できる保証はないし、復旧までにどれくらいかかるのかもわからない。いったいどうしたらいいのか。そんな時、併設診療所の保険会社の担当が営業に来た。皮肉にもサイバー保険の営業だ。一週間遅い。しかし、話しているうちに、サイバー保険に入っていなくとも、「サイバー攻撃相談窓口」は無料で相談を受けてくれるということを教えてくれた。困り果てていたので、すぐに連絡を取る。そこで次々と明らかになる衝撃の事実。なぜ、またいつから狙われていたのか。どうして防げなかったのか。なぜ身代金は500万円なのか。もし身代金を払ったなら何が起こるのか。そこに待ち受ける攻撃の嵐と二重脅迫の恐怖とは。信用できるデータ復旧会社を選ばなければならない理由とは。最初にするべきことは。身代金よりも圧倒的に高額なデータ復旧費用とは。個人情報はどこまで流出しているのか。今回の発表はこれらの回答とともに、システム復旧へのロードマップを示し、今後必要なサイバーBCPの重要性を考えるものである。
とにもかくにも当法人は最終的な経営判断により「身代金は払わない」、「データは自分たちで新しく作り直す。」という決断を下す。こうして、法人の25年に及ぶ蓄積されたデータはすべて失われた・・・。