「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】

13時間前

 2021年10月、徳島県つるぎ町の町立半田病院が、ロシアを拠点とするハッカー犯罪集団からサイバー攻撃を受けた。身代金要求型の「ランサムウエア」と呼ばれるコンピューターウイルスによる攻撃で、電子カルテなどのデータが盗まれ暗号化されてしまい、病院機能がダウンした。ウイルスは高度な暗号技術が使われており、身代金を支払わないと「解除は不可能」とされる。病院は「身代金は支払わない」と表明し、東京都内のIT業者に調査とシステムの復旧を依頼、2カ月後には復旧して全診療科が再開した。解除不可能なウイルスは一体どのようにして解除できたのだろうか―。ハッカー犯罪集団、復旧を請け負ったIT業者らに取材を敢行し、その「謎」に迫った。(共同通信=角亮太)

サイバー攻撃を受けた徳島県つるぎ町立半田病院=2022年5月
サイバー攻撃を受けた徳島県つるぎ町立半田病院=2022年5月
サイバー攻撃を受けて、徳島県つるぎ町立半田病院の入り口に張られたお知らせ=2021年11月
サイバー攻撃を受けて、徳島県つるぎ町立半田病院の入り口に張られたお知らせ=2021年11月
サイバー攻撃を受け患者の電子カルテが閲覧できなくなったことについて、記者会見する半田病院の関係者ら=2021年11月
サイバー攻撃を受け患者の電子カルテが閲覧できなくなったことについて、記者会見する半田病院の関係者ら=2021年11月
徳島県つるぎ町立半田病院の有識者会議の報告書。電子カルテなどのシステム復旧の方法について「データ復元に必要な手段を入手したと考えるのが妥当」と記述
徳島県つるぎ町立半田病院の有識者会議の報告書。電子カルテなどのシステム復旧の方法について「データ復元に必要な手段を入手したと考えるのが妥当」と記述
サイバー攻撃を受けた徳島県つるぎ町立半田病院=2022年5月
サイバー攻撃を受けて、徳島県つるぎ町立半田病院の入り口に張られたお知らせ=2021年11月
サイバー攻撃を受け患者の電子カルテが閲覧できなくなったことについて、記者会見する半田病院の関係者ら=2021年11月
徳島県つるぎ町立半田病院の有識者会議の報告書。電子カルテなどのシステム復旧の方法について「データ復元に必要な手段を入手したと考えるのが妥当」と記述


未明にプリンターから脅迫文
 2021年10月31日の未明。異変に気付いたのは病棟の看護師だった。プリンターの紙がなくなるまで、延々と印刷した文書が床一面に散らばる。手に取ると英語で「あなたのデータは盗まれ、暗号化された。身代金を支払わないとデータが暴露される」と書かれていた。ここから、病院の長い戦いが始まった。
 半田病院を攻撃したのは「ロックビット2・0」(現在はロックビット3・0に改称)と名乗る、世界最大のハッカー犯罪集団だった。ロックビットは半田病院のシステムに侵入し、データを盗んで暗号化した。8万5千人分の患者の電子カルテが消え、医事会計などのシステムは軒並み使えなくなった。不測の事態に備えるはずの電子カルテのバックアップもウイルスに感染し、病院は大混乱に陥った。
 半田病院はカルテを手書きするなどの応急処置により、最低限の医療を維持することに決めた。救急や新規の患者の受け入れを中止し、診察は予約の患者だけに絞った。退院できる患者には退院してもらい、徳島県西部で唯一受け入れていた出産も断った。電子カルテの復旧は12月末、通常診療に戻れたのは年が明けた2022年1月4日だった。

情報を積極的に開示した半田病院
 国内病院のランサムウエア被害は、半田病院よりも前にたびたび起きていた。2017年には福島県立医大病院、18年には奈良県宇陀市立病院が被害を受け、電子カルテなどが使えなくなった。
 半田病院が注目されたのは、発生直後から積極的な情報公開に取り組んだからだ。サイバー攻撃を受けたことを「恥」と捉え、取材に応じない企業や団体が多い。しかし、半田病院は地域医療への影響の大きさから、積極的に情報を開示して周囲に理解と協力を求めた。
 結果的に半田病院に多くの支援が集まっただけでなく、ランサムウエアの深刻な被害がリアルタイムで伝えられた国内で初めてのケースとなった。多くの人にとって対岸の火事だったサイバー攻撃を身近な問題に変えた。
 半田病院はサイバー攻撃の詳細や復旧に至る道筋について、セキュリティー専門家による有識者会議に調査を依頼した。病院関係者への聞き取りによって、2022年6月に報告書がまとめられた。

医療システムの安全神話
 報告書によると、ランサムウエアはVPN(仮想専用線)機器の欠陥を突いて侵入していた。電子カルテなど病院内のITシステムは安全のため、インターネットからは隔離されている。ただ、例外があった。
 隔離されたシステムでも、メンテナンスのためにはインターネットにつなげる必要がある。VPN機器のメーカーは欠陥情報を公開し、欠陥の修正プログラムの導入やID、パスワードの変更を呼びかけていた。しかし、半田病院はどちらもしていなかった。ほかにも基本ソフト(OS)の更新をしなかったり、ウイルス対策ソフトを停止していたり、セキュリティーの基本的な対策ができていなかったことも報告書は指摘している。
 ずさんな管理態勢の背景には「医療システムは外部から隔離された安全なネットワークだ」という誤解がある。有識者会議は「安全神話にとらわれ、思考停止状態だった」と指摘する。

独自のプログラムで暗号解除?
 報告書には大きな謎が残されていた。どうやって電子カルテなどのシステムを復旧させたのかを特定できなかったのだ。
 報告書によると、システムを復旧したのはVPN機器の販売業者から紹介された「B社」。B社は独自のプログラムでロックビットの暗号を解除したと病院に説明したという。
 しかし、ロックビットのウイルスは楕円曲線暗号と呼ばれる高度な暗号技術が使われており、外部からの解除は不可能とされる。暗号解除には復号鍵と呼ばれるプログラムが必要で、それを持っているのはウイルスを作ったロックビットしかいない。つまり、半田病院のシステム復旧にはロックビットと交渉し、復号鍵を入手する以外に方法はないと考えられる。
 有識者会議は「B社から詳細な情報が得られなかった」とし、特定を断念。報告書には「データ復元に必要な手段を入手したと考えるのが妥当」と記述するにとどめた。

ハッカー犯罪集団に直撃取材
 真実はどこにあるのか。それを知るため、2022年6月下旬、ロックビットにインタビューを申し込んだ。ロックビットは通常のネット閲覧ソフトではたどり着けない、ダークウェブ上に盗んだ情報を暴露したり、ハッカーを募集したりするサイトを運営している。その中にはメディア向けの連絡先が記され、「Tox(毒)」という名前の通信アプリを使うように指示されていた。
 Toxはチャットのようにメッセージのやりとりだけでなく、ビデオ通話もできる。ハッカー犯罪集団が指定するだけあり、非常に匿名性が高いことが特徴とされる。
 ハッカー犯罪集団に自らの所属や氏名を名乗ったことで、サイバー攻撃を受けるのではないかと心理的な抵抗を感じたが、できるだけ礼儀正しく、丁寧にメッセージを送った。「ロックビットによるランサムウエア被害は日本でも大きな話題になっている。あなたたちについてインタビューさせてほしい」。翌日に短い返信があった。「Wait Please(ちょっと待ってて)」。
 実はこのとき、ロックビットは2・0から3・0に改名するところだった。ウイルスを強化し、ダークウェブ上のサイトを更新するなど内部でも混乱があったようだ。「今は忙しい。忘れないように毎日メッセージを送ってくれれば、そのうち応じる」とも返された。毎日メッセージを送ったが、返信は数日に一度。それも「Hello(こんにちは)」か「Busy(忙しい)」だった。
 7月下旬になって初めて長いメッセージが届いた。「いいニュースだ。質問に何でも答えるよ」。
 ロックビットの歴史や組織の構成、攻撃した件数や身代金要求の基準など、事前に準備していた質問を送ると冗談も交えながら機嫌良く回答を寄せた。「日本人もメンバーに募集しているの?」と聞くと「以前から何人かいるよ」とも明かした。

復旧の「鍵」を無償提供?
 空気が変わったのは半田病院の件を聞いたときだった。「ところで、昨年の10月に日本の病院を攻撃しましたね?どうして病院を攻撃したのですか?身代金は支払われたのですか?」。
 ロックビットは「病院は(ウイルスで暗号化されたデータの)復旧業者に金を払ったが、われわれには払っていない」と語った。意味が分からず、詳しく教えてくれと頼むと、長いメッセージが届いた。
 「ある男がメッセージを送ってきた。『半田病院で人が死んでいる、大変だ。無償で復号鍵をくれ』というから、無償で復号鍵を渡した」。「ところが、復旧業者は半田病院から高額の報酬を受け取ったそうじゃないか。われわれの同情を誘って無償で得た復号鍵を使って大もうけした。その男は復旧業者の仲間だろう」という。
 ロックビットは男とのやりとりの記録を提供した。ダークウェブやサイバー犯罪を独自調査している日本人の匿名ハッカーだった。
 記録によると、匿名ハッカーは2022年1月26日、Toxでメッセージを送っていた。「半田病院への攻撃が日本では大きなニュースになっている。そのことを聞きたい」。
 ロックビットは匿名ハッカーに「病院を攻撃したのは誤りだ。申し訳ない」と謝罪し、「半田病院のIDを教えてくれたら復号鍵を渡すよ」と言い出した。ロックビットのウイルスに感染すると専用の番号(ID)が割り振られる。脅迫文に記載されており、被害者がロックビットと身代金の金額交渉しようとすれば、必要になるものだ。
 被害者の半田病院しか知らないはずだが、匿名ハッカーはIDを示した。ロックビットはすぐに復号鍵を渡した。

「だまされた」怒りをぶちまけるロックビット
 病院のIDを知っていたことから、匿名ハッカーが病院か復旧を依頼されたB社とつながっていることは間違いないように思えた。
 ロックビットは「恐ろしいペテンだ。こんな横暴な仕打ちは初めて受けた。私の心は氷のようだ。もう二度と、被害者に同情して無償で復号鍵を提供することはしない」などと繰り返し、匿名ハッカーとB社へ怒りをぶちまけた。
 地方の病院を苦しめたハッカー犯罪集団の身勝手な怒りにはあきれるしかなかったが、事実なら痛快な話だとも思った。日本人の匿名ハッカーが世界最大のハッカー犯罪集団と交渉し、無償で復号鍵を入手。それが病院のシステム復旧につながった。犯罪集団は後になってハッカーにだまされたと、ほぞをかんでいる―。日本人としては心動かされるストーリーだ。「何らかの手段で復旧手段を入手したが身代金は支払っていない」という有識者会議の報告書とも合致する。
 ロックビットが提供した記録を手がかりに、日本人の匿名ハッカーに接触を試みた。幸いにも、すぐに連絡先が分かったので、こちらの連絡先を添えてメッセージを送った。「ロックビットをだまして半田病院の復号鍵を入手したのはあなたですか?」
 数時間後、携帯電話が鳴った。匿名ハッカーからだった。若い日本人の男性のようだった。
 「ロックビットから直接聞いたのですか?彼らはまだ怒っているのですか?」。匿名ハッカーはずいぶんおびえているようだった。「正義のハッカー」にしては、頼りない印象だった。
 匿名ハッカーはロックビットと接触し、復号鍵を入手したことは認めたものの、復旧との関係は強く否定した。「接触したのは今年の1月末で、興味本位だった。既に半田病院は診療を再開しており、復旧業者とは無関係」だという。今年の5月くらいまで、ロックビットから詐欺師呼ばわりするメッセージが送られており、身の危険を感じているという。
 入手した複号鍵については「信用できる第三者に提供したが、誰かは言えない」とし、「ロックビットの言うことなんか信用しない方がいい。こんなことは記事にしないでくれ」とも主張した。

深まった謎
 大きなサイバー攻撃事件が発生すると、有志のハッカーが水面下で調査に協力することはよくあることは知っていた。半田病院の事件ほど注目されれば、そうした有志がキーマンになっていることは大いにあり得ると思っていた。
 しかし、この匿名ハッカーの果たした役割はよく分からなくなった。もちろん保身のためにうそをついている可能性もあるが、匿名ハッカーがロックビットと接触した時期は明らかに病院のシステムが復旧した時期よりも遅い。「匿名ハッカーが無償で復号鍵を入手し、半田病院のシステムを復旧させた」というストーリーは成立しなくなる。
 有識者会議の報告書によると、B社は2021年11月3日に半田病院から相談を受け、11月19日に一部、復旧に成功したサンプルデータを病院に提出している。この時期に復号鍵を入手していないと、整合性が取れない。
 ロックビットに「匿名ハッカーがロックビットに接触した時期が合わない。昨年11月に誰かから接触があったはずだ。確認してくれ」と何度も頼んだが、ロックビットは「あの匿名ハッカーは詐欺師だ」「あいつにだまされている」と繰り返すばかりだった。(後編につづく)

いい茶10
あなたの静岡新聞 アプリ