“ダークウェブにしかないから大丈夫”？──病院へのランサムウェア攻撃で広がった発信の意図は　関係者に真意を聞いた

　5月19日、岡山県精神科医療センターに対してランサムウェアによるサイバー攻撃が行われ、同センターおよび東古松サンクト診療所の電子カルテを含めた総合情報システムに障害が発生した。これにより、氏名、住所、生年月日、病名を含む患者情報が最大4万人分や、内部で作成した病棟会議の議事録を含む共有フォルダの情報が流出した可能性があると発表があった。

【その他の画像】

　日本国内ではランサムウェア攻撃の被害数が増大しており、もはや全ての事件が報道されることもないのが実情だ。しかしこの事件が注目を集めたのは、一部報道にて上記漏えい情報が「ダークウェブ」にのみ存在し「一般の人が閲覧できる可能性は極めて低いと考えられています」と伝えられた点にある。

　ダークウェブに情報があるということは、攻撃者など第三者の手に情報が渡ったことを意味する。安全な状態とは遠く、SNSでは「大したことないと思わせたいのか」といった突っ込みもあった。精神医療センターの患者という繊細な情報の漏えいインシデントに対し、上記の発言があったとしたならば、その意図は何なのだろうか。岡山県精神科医療センターの会見にも関わった、一般社団法人ソフトウェア協会の板東直樹フェローに意図を聞いた。

●攻撃グループやランサムウェアの情報は開示していない

　そもそもダークウェブとは、ChromeやEdge、Safariといった一般的なWebブラウザではアクセスができず、特別なプロトコル／ルーティング技術を使うことができるソフトウェアを用いてしかアクセスできないWebサイトやWebサービスを指す。主なダークウェブ向けブラウザとしては「Tor Browser」などがあり、通常のWebサイトに対しても匿名化ネットワークを経由してアクセスできるようになっている上に、匿名性の高い「.onion」ドメインのWebサイトを閲覧できる。

　岡山県精神科医療センターの件に限らない一般論として、ダークウェブ上のリークサイトは、ランサム攻撃が行われた際、身代金を要求するための脅迫の現場として使われる。リークサイトに盗んだ情報の一部をアップロードし、攻撃者がデータを持っていることをアピールすることで、身代金を要求するのだ。この情報はGoogleなどで検索できる領域（サーフェスウェブ）からはアクセスできない。

　つまりリークサイトは、攻撃者および被害者が情報を流通させ交換する、限定された身代金交渉の場というわけだ。板東氏も、前提として「一般向けに知らしめるためのものではない」と述べる。

　岡山県精神科医療センターの件では、通常のランサム攻撃同様、リークサイト（ダークウェブ）上で情報がやりとりされる。ただし、今回のインシデント報告では攻撃グループやランサムウェアそのものの詳細は発表していない。板東氏も「早々にアクセスできるものではなく、リークサイトを簡単に見つけることはできないというのは、事実としてあるだろう」と見解を述べる。

扱う情報の性質も考慮

　また「一般の人が閲覧できる可能性は極めて低いと考えられています」との報道があった背景には、精神的な病に関する情報が漏えいした恐れがあるという、通常とは異なる事情もあったようだ。

　6月11日に行われた記者会見では、ITに特化したメディアではなく、一般メディアの記者も多かったと板東さん。例えばうつや依存症など、周囲に知られることそのものが病状の悪化につながり得る情報に関する事件として注目度が高く、会見の現場でもそういった情報が一般の目に触れてしまうリスクへの不安が前提としてあったという。

　実際に記者からも漏えい情報の悪用を心配されていたが、悪用可能な情報が広く一般に見える場所にはないという説明により、ひとまずの安堵の空気が流れたと板東さん。その際、どこにデータがあるのかという説明の中で「ダークウェブ」という言葉が出てきたとしている。

　実際、今回流出したデータは医局のカンファレンスの議事録や患者の介護記録などで、電子カルテそのものではなかったため、詳細な本人特定が可能な患者情報は漏れていなかったという。携帯電話番号やメールアドレスなども含まれず、迷惑メールや電話による詐欺などに直接つながる可能性が低いことも分かっていた。

　つまり今回の騒動は、事件を起こした医療センター、説明をした人物、それを受けた記者／メディアのコミュニケーションに齟齬があった結果「（少なくとも当時の時点では）精神の病に関する情報が一般の人の目に触れる可能性は低い」と伝えたい発信側の意図が「ダークウェブにしかないから一般には広がらず、安心」というニュアンスに変わっていったものとみられる。板東氏も「読者に安心してほしい、という思いからそういった表現になったのではないか」と推測する。

●「ニコニコ事件」を受けて変わる事情

　ただしその前提には、悪意をもって、もしくは正義感から「ダークウェブから情報を引き出し、サーフェスウェブや現実世界に持ち込む」ような登場人物がいないという条件が付く。現在進行形で対処が続く、ニコニコ動画やKADOKAWAを巡るランサム事件では、一般的な人がGoogle検索できないようなダークウェブ上にあるはずのデータらしきものが、SNSなどに画像形式で露出してしまっている。

　この現状について板東氏は「不正アクセスしたデータをさらに持ち出す、さらすというようなことは別の事件として、法をもって対処しなければならないのでは。モラルなき犯罪者には淡々と対処していく。もちろん、Google検索などで見える場所に上げられてしまったら、そこに対して削除要請をする必要はある。こういう事態に陥ると、対抗手段というのはほとんどないのは残念だ」と述べた。

●過去の事件から学び、その教訓を生かせ

　岡山県精神科医療センターの件を含め、現在は日本中でランサムウェア攻撃やその被害が続いている状態だ。実は今回取材した板東氏は、2021年10月31日に発生した徳島県つるぎ町立半田病院のインシデントに有識者会議の委員として参加し、詳細な報告書を書いている人物でもある。

　この調査報告書では、事件の経緯だけでなく、調査報告書の「技術編」、そして板東氏も所属している「ソフトウェア協会 Software ISAC」による「情報システムにおける セキュリティ コントロール ガイドライン Ver.1.0」もあわせて公開されている。実はここに、医療系に限らずランサム対策／マルウェア対策をどう考えていくかという情報が詰め込まれており、多くの企業にとって参考になる資料が無料で公開されている。

　その知見や、半田病院の後に発生した大阪急性期・総合医療センターの事件も踏まえ、板東氏は病院や中小企業のセキュリティについて以下のように警鐘を鳴らす。

　「実際に攻撃を受けた事例を見ても、難しい攻撃を受けているわけではなく、脆弱性の放置や設定ミスなどで“容易に”侵入されてしまっている。管理者アカウントもIDはadministratorで固定、パスワードは半田病院が5桁のみ、急性期医療センターの事例では推測しやすいものだった。攻撃の手口を知り、よく使われるテクニックに対し対処が必要だ」

　板東氏は「セキュリティ対策は一本足打法ではダメだ」とし、ファイアウォールだけ、ウイルス対策ソフトだけ、EDRだけというものにならぬようにしなければならないと指摘する。加えて経営者側の意識も必要と述べ「対応のためのコストをリアルに感じてほしい。ITをビジネスとする企業や個人情報を持つ企業は、それが漏れた際のコストを認識すれば、アクションにつなげることができるはずだ」と注意喚起した。