SHUCHU PUBLISHING

病院経営者のための会員制情報紙/集中出版株式会社

未来の会

国内外で多発するサイバー脅威に 医療機関はどう対処すべきか

国内外で多発するサイバー脅威に 医療機関はどう対処すべきか
名和 利男(なわ・としお)1971年北海道生まれ。高校卒業後、海上自衛隊を経て航空自衛隊に再入隊しサイバーセキュリティ業務を担当する。現在は株式会社サイバーディフェンス研究所の専務理事及び上級分析官を務める他、英国NCD外部執行役等海外を中心に活動している。

2005年頃からロシアで発生し始めたサイバー攻撃は世界各国へ広がり、日本でも幅広い被害が発生している。人命を扱う医療機関は、特に身代金要求型不正プログラム「ランサムウェア」を使った攻撃の対象になり易いと言う。実際に国内の公立病院ではカルテデータが消失した事例も起きている。昨今、医療業界では国の後押しも有り、電子カルテ等を外部ネットワークへ繫いでDX化を進めている。だが、世界と比べてサイバーセキュリティへの投資やサイバー攻撃への対策は依然不充分なままだ。サイバーディフェンス研究所の専務理事で上級分析官の名和利男氏に、世界で起きているランサムウェア攻撃の実態や日本の現状、経営者がすべき対策について聞いた。

——世界で起きているランサムウェア攻撃の実態や被害額について教えて下さい。

名和 ランサムウェア攻撃の殆どは、形態が数週間程で変容する上に、その被害が十分に明かされずに終わっています。数多くのレポートが出ていますが、実態の把握は非常に難しいです。ただ攻撃が幾何級数的に増えているのは事実で、2021年2月の状況と22年2月の状況は全く違います。又ランサムウェア攻撃グループの世界には、ルールや税金、そして取り締まる強制力を持った公的機関も存在しません。彼等は、12年頃からビットコイン等の暗号資産で身代金の支払いを求めています。初期の頃には決済代行サービスやクレジットカードの使用も確認された事が有りますが、現在は暗号資産を獲得し、捜査能力や監視能力が低く西側諸国が関与出来ない地域で資金洗浄を行い現金化していると言われています。ただ、その実態は不明なところが多いです。又、身代金を払いそうな大企業程セキュリティレベルが高いので、それを凌駕するマルウェアを開発する必要が有り、標的をよく理解している仲間を集めなければならない為、かなりの労力を必要とします。そして、その様な開発者への支払いと、一緒に攻撃をしている複数の仲間への報酬等も必要です。その為、10億円の身代金を獲得したとしても、数億円しか残らない計算になります。そして、その利益の大半は次の攻撃準備に費やされます。諸外国のハイレベルのセキュリティ専門家の年収は数千万円以上である為、それ以上払えないと魅力を感じてくれません。攻撃側も必死なのです。

マッチングで急拡大するランサム攻撃グループ

——攻撃を仕掛けてくる組織とは?

名和 ランサムウェア攻撃には現在、残念ながら諸外国のサイバーセキュリティ技術者も関与し始めています。ランサムウェア攻撃グループの世界では今、マッチングサービスが進展しています。05年頃からロシア国内で始まった小規模なランサムウェア攻撃は12年頃、ロシア国内の経済に大きなインパクトを与える様になり、ロシア当局は一斉にランサム攻撃グループの中核メンバーを摘発しました。その後、残党らは矛先を欧米に向け、英語に長けた人物を探す為、ヨーロッパ人やアメリカ人に「ランサムウェア攻撃に入りませんか」「成功したら身代金2〜3億円の10%をあげます」と募集を始めました。この様な仕組みの成熟度が高まった17年頃、「ランサムウェア・アズ・ア・サービス」と呼ばれる様になりました。最近では、諸外国に於いて、企業のセキュリティサービスを提供しているセキュリティ人材が企業のセキュリティの穴を攻撃側に教えてキックバックを得るといった犯罪が目立ち始めています。又、実際に攻撃を仕掛けているのは非ロシア人が多く、攻撃グループの中核にいる運営者の大半はロシア国内にいるロシア人です。

——ランサムウェア攻撃に対する日本の防衛体制をどのように評価しますか?

名和 日本政府が21年9月に閣議決定した「サイバーセキュリティ戦略」は、他国と比較すると、最近のサイバー脅威に適合しているとは言い難いものです。イギリスのシンクタンク「国際戦略研究所(IISS)」の同年6月のアセスメントでは、日本は「サイバーセキュリティへの投資を嫌い、国家としてのサイバー攻撃対策の能力も政治上の理由から未発達」等としてTire3(一部領域において著しい弱点がある区分)に位置付けられました。国内の一部の経営層は、対策に必要な知識を苦労して勉強しようとはせず、殆どは「儲かるのならやる」「俺に分かる様に言え」と言います。セキュリティ対策は、やればやるほど経営活動の時間が無くなり売り上げが下がってしまうからです。日本のサイバーセキュリティ戦略は、サイバー脅威の認識の低い企業や国民に寄り添ったものとなっていると言えます。

——被害の情報集積先は有るのでしょうか?又、警察等が被害実態を管理しているのでしょうか?

名和 国家が企業に対して、インシデントの報告を求め、一元化して分析及び共有する事を求める法令が整備されていない為、集積していないと言えます。内閣サイバーセキュリティセンター(NISC)という組織は有りますが、内閣官房組織令第4条2に「官房長を助ける」と書かれており、法令上、官房長官の明確な指示が無い限り、自発的に行う取り組みにも限界が有ります。法令は国家の意思です。現在、徐々に整備され始めていますが、まだまだ現場の創意工夫による所が多く、やれる・やれない事が目立っている状況です。過去何度もサイバーセキュリティに関する法令整備の動きは有りましたが、他の領域と異なり、議員にとってインセンティブが極端に低い為、実現に至りませんでした。他国が経験した様に、サイバー脅威で命を落とす寸前まで拡大して、大きな社会問題にならない限り、国民は議員に「サイバー脅威から私達を守ってくれ」という注文を付けません。

続きを読むには購読が必要です。

LEAVE A REPLY

*
*
* (公開されません)

COMMENT ON FACEBOOK

Return Top