身代金を支払うべきか否かは被害者の判断
LockBitは、共同通信の取材に応じ、「この病院のケースでは3万ドルを受け取り、復元プログラムを提供した」と説明している。LockBitが取材に応じた背景には、「身代金を支払えばデータは復元できる」ということを世間に知らしめたかったのだろう。
身代金を支払えば、この種の犯罪は後を絶たないとする社会正義は勿論のこと、身代金を支払ってもデータが復元できる可能性は低いと専門家は警鐘を鳴らしている。HPMCの事件の後、16年5月18日に発生した米国カンサス・ハート・ホスピタルでは、HPMCの例に倣って身代金を支払ったものの、身代金の増額要求がとどいたため、ハッカー集団との交渉を打ち切り、自力での復旧に切り替えた例もある。
米国でもランサムウェアの被害に遭った企業を相手に、復旧作業を請け負う会社は多数存在している。それらの企業の主な役割は、身代金を要求してきたハッカーとの身代金の減額交渉である。ハッカーとの会話は暗号通信アプリなどを介して行われるが、警戒心が強いハッカーは、相手が捜査当局かどうか見極める必要があることから慎重になるため、それなりの経験がなければ交渉にまで持ち込めない。
それらの会社は、ホームページで「ハッカーとの身代金交渉」を謳っており、顧客に黙って交渉することはない。ましてハッカーとの交渉を他の会社に任せるようなこともしない。自社技術で復旧すると説明し、顧客に黙ってハッカーと交渉すれば、契約に違反していることになり、訴えられかねないからだ。日本でも「ハッカーとの身代金交渉」をホームページに謳う会社も散見されるが、顧客の意向を無視してまで交渉する必要があったのか疑問が残る。
復元費用の見積もり金額2億円に対して7000万円で済んだとする見方もできるだろうが、このケースはあくまでも公立病院だ。私立病院ならいざ知らず、公立の場合は、社会正義も大事なはずだし、反社会的行為との汚名も着せられたくはないだろう。まして、住民への説明責任も果たさなければならない。
決算書には特別損失としてデータ復元費用が計上されるだろうが、それはあくまでもデータ復元会社への技術支援料と記録され、LockBitの名前は記録に残らない。病院関係者や首長も知っての行いとは思いたくない。
味をしめたデータ復旧会社
厚生労働省では、医療機関向けセキュリティ教育支援ポータルサイトを開設するなどようやくランサムウェア対策に本腰を入れ始めたようだ。日本病院会などの団体でつくる四病院団体協議会(四病協)は、100床未満の規模の病院でもセキュリティ対策には800万円程度の投資が必要だとして、国に対策費の支援を要請している。
ランサムウェアの被害を予防するには、個々の病院の意識啓発やセキュリティ対策も重要だが、フッシングメール(詐欺メール)をそもそも受信しないメールの仕組み(DMARC)の普及も不可欠だ。厚労省はこうした根本対策にも取り組んで欲しいものだ。
このデータ復旧会社では、その後もランサムウェアに感染した大阪の病院のデータ復旧を5000万円で請け負っている。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。
▲「Wedge ONLINE」の新着記事などをお届けしています。
