「解除不可能」ロシア・ハッカー犯罪集団のコンピューターウイルスはなぜ解除できたのか? サイバー攻撃を受けた徳島・半田病院、復旧の裏で起きていたこと【前編】
2021年10月、徳島県つるぎ町の町立半田病院が、ロシアを拠点とするハッカー犯罪集団からサイバー攻撃を受けた。身代金要求型の「ランサムウエア」と呼ばれるコンピューターウイルスによる攻撃で、電子カルテなどのデータが盗まれ暗号化されてしまい、病院機能がダウンした。ウイルスは高度な暗号技術が使われており、身代金を支払わないと「解除は不可能」とされる。病院は「身代金は支払わない」と表明し、東京都内のIT業者に調査とシステムの復旧を依頼、2カ月後には復旧して全診療科が再開した。解除不可能なウイルスは一体どのようにして解除できたのだろうか―。ハッカー犯罪集団、復旧を請け負ったIT業者らに取材を敢行し、その「謎」に迫った。(共同通信=角亮太)
https://nordot.app/977511889856217088
▽未明にプリンターから脅迫文
2021年10月31日の未明。異変に気付いたのは病棟の看護師だった。プリンターの紙がなくなるまで、延々と印刷した文書が床一面に散らばる。手に取ると英語で「あなたのデータは盗まれ、暗号化された。身代金を支払わないとデータが暴露される」と書かれていた。ここから、病院の長い戦いが始まった。
半田病院を攻撃したのは「ロックビット2・0」(現在はロックビット3・0に改称)と名乗る、世界最大のハッカー犯罪集団だった。ロックビットは半田病院のシステムに侵入し、データを盗んで暗号化した。8万5千人分の患者の電子カルテが消え、医事会計などのシステムは軒並み使えなくなった。不測の事態に備えるはずの電子カルテのバックアップもウイルスに感染し、病院は大混乱に陥った。
半田病院はカルテを手書きするなどの応急処置により、最低限の医療を維持することに決めた。救急や新規の患者の受け入れを中止し、診察は予約の患者だけに絞った。退院できる患者には退院してもらい、徳島県西部で唯一受け入れていた出産も断った。電子カルテの復旧は12月末、通常診療に戻れたのは年が明けた2022年1月4日だった。
▽医療システムの安全神話
報告書によると、ランサムウエアはVPN(仮想専用線)機器の欠陥を突いて侵入していた。電子カルテなど病院内のITシステムは安全のため、インターネットからは隔離されている。ただ、例外があった。
隔離されたシステムでも、メンテナンスのためにはインターネットにつなげる必要がある。VPN機器のメーカーは欠陥情報を公開し、欠陥の修正プログラムの導入やID、パスワードの変更を呼びかけていた。しかし、半田病院はどちらもしていなかった。ほかにも基本ソフト(OS)の更新をしなかったり、ウイルス対策ソフトを停止していたり、セキュリティーの基本的な対策ができていなかったことも報告書は指摘している。
ずさんな管理態勢の背景には「医療システムは外部から隔離された安全なネットワークだ」という誤解がある。有識者会議は「安全神話にとらわれ、思考停止状態だった」と指摘する。
▽独自のプログラムで暗号解除?
報告書には大きな謎が残されていた。どうやって電子カルテなどのシステムを復旧させたのかを特定できなかったのだ。
報告書によると、システムを復旧したのはVPN機器の販売業者から紹介された「B社」。B社は独自のプログラムでロックビットの暗号を解除したと病院に説明したという。
しかし、ロックビットのウイルスは楕円曲線暗号と呼ばれる高度な暗号技術が使われており、外部からの解除は不可能とされる。暗号解除には復号鍵と呼ばれるプログラムが必要で、それを持っているのはウイルスを作ったロックビットしかいない。つまり、半田病院のシステム復旧にはロックビットと交渉し、復号鍵を入手する以外に方法はないと考えられる。
有識者会議は「B社から詳細な情報が得られなかった」とし、特定を断念。報告書には「データ復元に必要な手段を入手したと考えるのが妥当」と記述するにとどめた。
▽復旧の「鍵」を無償提供?
空気が変わったのは半田病院の件を聞いたときだった。「ところで、昨年の10月に日本の病院を攻撃しましたね?どうして病院を攻撃したのですか?身代金は支払われたのですか?」。
ロックビットは「病院は(ウイルスで暗号化されたデータの)復旧業者に金を払ったが、われわれには払っていない」と語った。意味が分からず、詳しく教えてくれと頼むと、長いメッセージが届いた。
「ある男がメッセージを送ってきた。『半田病院で人が死んでいる、大変だ。無償で復号鍵をくれ』というから、無償で復号鍵を渡した」。「ところが、復旧業者は半田病院から高額の報酬を受け取ったそうじゃないか。われわれの同情を誘って無償で得た復号鍵を使って大もうけした。その男は復旧業者の仲間だろう」という。
ロックビットは男とのやりとりの記録を提供した。ダークウェブやサイバー犯罪を独自調査している日本人の匿名ハッカーだった。
記録によると、匿名ハッカーは2022年1月26日、Toxでメッセージを送っていた。「半田病院への攻撃が日本では大きなニュースになっている。そのことを聞きたい」。
ロックビットは匿名ハッカーに「病院を攻撃したのは誤りだ。申し訳ない」と謝罪し、「半田病院のIDを教えてくれたら復号鍵を渡すよ」と言い出した。ロックビットのウイルスに感染すると専用の番号(ID)が割り振られる。脅迫文に記載されており、被害者がロックビットと身代金の金額交渉しようとすれば、必要になるものだ。
被害者の半田病院しか知らないはずだが、匿名ハッカーはIDを示した。ロックビットはすぐに復号鍵を渡した。 報告書によると、ランサムウエアはVPN(仮想専用線)機器の欠陥を突いて侵入していた。電子カルテなど病院内のITシステムは安全のため、インターネットからは隔離されている。ただ、例外があった。
隔離されたシステムでも、メンテナンスのためにはインターネットにつなげる必要がある。VPN機器のメーカーは欠陥情報を公開し、欠陥の修正プログラムの導入やID、パスワードの変更を呼びかけていた。しかし、半田病院はどちらもしていなかった。ほかにも基本ソフト(OS)の更新をしなかったり、ウイルス対策ソフトを停止していたり、セキュリティーの基本的な対策ができていなかったことも報告書は指摘している。
あのさあ
▽「だまされた」怒りをぶちまけるロックビット
病院のIDを知っていたことから、匿名ハッカーが病院か復旧を依頼されたB社とつながっていることは間違いないように思えた。
ロックビットは「恐ろしいペテンだ。こんな横暴な仕打ちは初めて受けた。私の心は氷のようだ。もう二度と、被害者に同情して無償で復号鍵を提供することはしない」などと繰り返し、匿名ハッカーとB社へ怒りをぶちまけた。
地方の病院を苦しめたハッカー犯罪集団の身勝手な怒りにはあきれるしかなかったが、事実なら痛快な話だとも思った。日本人の匿名ハッカーが世界最大のハッカー犯罪集団と交渉し、無償で復号鍵を入手。それが病院のシステム復旧につながった。犯罪集団は後になってハッカーにだまされたと、ほぞをかんでいる―。日本人としては心動かされるストーリーだ。「何らかの手段で復旧手段を入手したが身代金は支払っていない」という有識者会議の報告書とも合致する。
ロックビットが提供した記録を手がかりに、日本人の匿名ハッカーに接触を試みた。幸いにも、すぐに連絡先が分かったので、こちらの連絡先を添えてメッセージを送った。「ロックビットをだまして半田病院の復号鍵を入手したのはあなたですか?」
数時間後、携帯電話が鳴った。匿名ハッカーからだった。若い日本人の男性のようだった。
「ロックビットから直接聞いたのですか?彼らはまだ怒っているのですか?」。匿名ハッカーはずいぶんおびえているようだった。「正義のハッカー」にしては、頼りない印象だった。
匿名ハッカーはロックビットと接触し、復号鍵を入手したことは認めたものの、復旧との関係は強く否定した。「接触したのは今年の1月末で、興味本位だった。既に半田病院は診療を再開しており、復旧業者とは無関係」だという。今年の5月くらいまで、ロックビットから詐欺師呼ばわりするメッセージが送られており、身の危険を感じているという。
入手した複号鍵については「信用できる第三者に提供したが、誰かは言えない」とし、「ロックビットの言うことなんか信用しない方がいい。こんなことは記事にしないでくれ」とも主張した。 0007番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW ce9f-6BXM)2023/01/04(水) 17:12:26.13ID:zDGwP7W70
WinWinか
0008番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 9aa0-SWnj)2023/01/04(水) 17:15:42.90ID:GszpuZnN0
テロに屈しないってのはまあ正しいんだけど業者に金払ったらあんま意味無くね?
>>5
脆弱性を突いてインターネットからVPN経由で院内LANに入れたってことでしょ。
そりゃ無双するわなw >>9
業者の素性バレてるのに本当に得だったのかな
ニヤニヤ そんなん犯罪だろ、火事場ドロボーみたいなもの
逮捕しろや
0015番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 8baf-bkFq)2023/01/04(水) 17:22:25.36ID:cr7WXgY90
「ある男がメッセージを送ってきた。『半田病院で人が死んでいる、大変だ。無償で復号鍵をくれ』というから、無償で復号鍵を渡した」
「ところが、復旧業者は半田病院から高額の報酬を受け取ったそうじゃないか。われわれの同情を誘って無償で得た復号鍵を使って大もうけした。その男は復旧業者の仲間だろう」
草
0016番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 8a8c-ChaJ)2023/01/04(水) 17:23:00.44ID:SRi/658T0
あかんな
意味不明。
攻撃しといて攻撃する気なかったとか、仲介業者に鍵渡したとか。
>>5
VPN機器アプデしない ヨシ!
定期的なID/PASSの変更しない ヨシ!
OSの更新はもちろんしない! ヨシ!
ウイルス対策ソフトは停止! ヨシ! 0019番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイ 8a8c-ChaJ)2023/01/04(水) 17:24:15.09ID:SRi/658T0
0020番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 4e8f-X4B2)2023/01/04(水) 17:25:06.57ID:jAz/iLxa0
結局復旧するには金を払わなきゃいけなかったんだけど、テロには屈しなかったという理由をつけるために、多重の下請けが必要だった
>>15
それ復旧後の話なんよな
なんかハッカー側も意味がわからん
解決してちょっと経ってから日本人ハッカーがロックビットに鍵を要求してロックビットが渡して激怒してるとか 0023番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 4e8f-X4B2)2023/01/04(水) 17:27:00.98ID:jAz/iLxa0
>>21
無償で鍵をもらえたというアリバイ作りだったんでしょ
時系列の齟齬が新聞社にばれちゃっただけ 共同通信=角亮太
検索してもこいつの記事全然出てこないんだが?
>>23
事件「後」の話だぞ
アリバイ作りなら解決前にするし解決するかわからんのにアリバイなんか作らんでしょ 0026番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 27d2-0djt)2023/01/04(水) 17:30:32.45ID:SUIJGQqG0
無償提供とか嘘だろな
約束の金が入ってこないから暴露したけど
始めから無償提供したとか大嘘だろ
読んでないけど業者への報酬とは別に業者が勝手に身代金を中抜きしたんか
0028番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 1aa2-oivP)2023/01/04(水) 17:31:27.47ID:Fb9QQE5I0
わろた
0029番組の途中ですがアフィサイトへの転載は禁止です (アウアウウー Sac7-1n5R)2023/01/04(水) 17:38:48.62ID:oKvhlDNSa
>>27
病院側が7000万払って業者に依頼するも下請けを通して最終的にハッカーに支払った身代金が約400万くらいだったという話 >>27
ロックビットへの接触が多数の人を介して行われているからその都度金が必要になっていったパターンだと思うよだからだれも身代金は払ってないけど身代金が支払われて解放されたパターン 0032番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW 768b-yxwe)2023/01/04(水) 17:52:39.88ID:CO3u6jT20
>隔離されたシステムでも、メンテナンスのためにはインターネットにつなげる必要がある。
無いだろ
ある程度大きいシステムなんだし常駐とは行かないまでも来させれば
>>32
阿武町とか見ればわかるが変なところでケチるからなあ
老害様 町立病院から出てくる報告書だから公文書かそれに近いものだろ
それで「復旧はしたけど、誰がどうやったかはわかりません。お金もどれだけ払ったかは公開しません」
って報告がまかり通るってことは
よっぽどB社や匿名ハッカーの立場が強いんだろう
この匿名ハッカーはリアル世界でなろう勇者になった気分だろうな
まさかパスワードってデフォルトから変えてないとかそんなレベルくさいな
楕円曲線暗号って仮想通貨で使われてる暗号だろ
これ解けるなら仮想通貨全部盗めるレベルじゃないの?
>>36
復号キーを使って解除したんであって、暗号を解読したわけじゃない うちの客にもクローズドだからって製品バージョンアップしない糞客おるわ
端金ケチってサポート切れのバージョン使い続けるようなアホが完璧なクローズド環境なんて維持出来てるわけ無いからいつか問題起きるだろうなと思ってる
0039番組の途中ですがアフィサイトへの転載は禁止です (ワッチョイW abc9-axcb)2023/01/04(水) 18:52:42.23ID:OogdRMlK0
>>34
匿名ハッカーは価値のない復号化キーを手に入れたあと誤解したハッカー集団に脅され続けただけで一切いい気分にはなってないと思うんだけど 0040番組の途中ですがアフィサイトへの転載は禁止です (アウアウウー Sac7-JdnT)2023/01/04(水) 18:57:29.88ID:2PLsnH4Va
杜撰さまみれで面白いね
ただのソーシャルエンジニアリングに引っ掛かって情報引き出されただけやん
