医療機関として最初に身代金を支払うと決断したのは、米国カリフォルニア州ロサンゼルスにあるハリウッド・プレスビテリアン・メディカル センター(HPMC)だといわれている。
2016年2月5日にロッキー(locky)と呼ばれるランサムウェアに電子カルテシステムが感染した。同病院では当初、手書きのカルテで対応していたが、限界があると判断し、10日後にハッカーに身代金40ビットコイン(当時の換算レートでおよそ233万円)を支払って、暗号鍵を入手し復旧を果たしている。
当時、米国でも身代金を支払ったことに対して物議を醸したが、病院のCEO(最高経営責任者)が発表した声明文には「最も大事なことは患者のケアやその品質に何ら影響を与えなかったことである。9000ビットコインや340万ドルもの身代金を支払ったとする噂があるが、実際に支払ったのは1万7000ドル相当の40ビットコインである。身代金の支払いは最も迅速で効率的な対応であった」と書かれている。さまざまな異論もあると思われるが、曖昧にせず事実を正確に伝える声明文を発表したCEOの判断はそれなりに評価されるのではないだろうか。
データ復旧会社の「作業」とは
HPMCと同様のことが日本でも起こっている。昨年、ランサムウェアに感染したある公立病院では、当初、自力での復旧を目指すとしており、その費用は2億円を超えると見積もっていた。
この病院では、都内のデータ復旧を専門とする会社にデータ復旧作業を委託し、無事、復旧を終えている。この会社が選ばれた背景には、警察から表彰もされている会社との安心感もあったのだと思われる。
問題は、そのデータ復旧会社に支払った金額である。7000万円も支払っているのだ。実はその会社は、3300万円を作業量として受け取り、残り3700万円をLockBitと呼ばれるハッカー集団と交渉する別の会社に支払って暗号鍵を手に入れて、復旧作業を行ったのだ。
都内のデータ復旧会社は、あくまでも自社の独自技術でデータを復元したといいはっているようだが、ハードディスクが破損したなどの物理的損傷と違い、専門家の間では、LockBitによるサイバー攻撃の場合は、暗号鍵がなければデータ復旧は不可能だとする見方がほとんどだ。
暗号鍵があれば流石に3300万もの費用がかかるわけがないと思うのは筆者だけだろうか。それよりも身代金を支払わないと苦渋の決断をした首長の決意を踏みにじった行為といわざるを得ない。
