脅威の研究

病院がサイバー攻撃の被害に? 対策をご紹介

Michal Salát, 2020年8月20日

病院が取るべきランサムウェア攻撃への対策と、攻撃を受けた場合の対処法をご紹介します

2020年3月、新型コロナウイルスの検査施設でもあるチェコ共和国のブルノ大学病院がランサムウェア攻撃を受け、院内のコンピュータがダウンしました。同院はチェコの国家サイバー情報セキュリティ局(NCISA)に報告するとともに、調査への協力を要請し、アバストの脅威研究所もマルウェアの分析による協力を申し出ました。

病院がランサムウェア攻撃を受けた場合、カルテの消失、治療の遅延や中止など、甚大な被害をもたらします。さらに、病院では命に関わる医療行為が行われるだけでなく、患者の個人情報も管理しているため、身代金を狙うサイバー犯罪者の標的となるケースがあります。

ランサムウェアを扱うサイバー犯罪者たちは、新型コロナウイルスの流行中は病院を標的にしないと主張しているものの、信用はできません。彼らは単に、病院など救急業務を行う機関に仕掛けている攻撃について、セキュリティ企業に注目・追跡されないために嘘をついているのです。

そこで、病院が実施できる、ランサムウェア攻撃への対策をご紹介します。次の手順に従って、システム、顧客データ、各種業務を保護し、セキュリティを強化しましょう。

ソフトウェアとOSを最新の状態にアップデート

2017 年 5 月、ランサムウェアの「WannaCry」が世界中で数百万台のコンピュータを攻撃し、多くのデバイスが被害を受けました。Microsoft はこの大規模な攻撃の 2ヵ月前にパッチを発行していましたが、多くの個人・法人がアップデートを怠ったために、攻撃を阻止できなかったのです。いくつかの病院も、WannaCryの被害に遭いました。

ソフトウェアとOSは、常に最新の状態に保ちましょう。Microsoft は継続的に緊急パッチを発行しています。Windows 10 においても、最近「EternalDarkness」という脆弱性に対するパッチが発行されました。この脆弱性が悪用されると、ファイル共有に使用されるSMBプロトコルが操作され、ワームの侵入が可能になってしまいます。「EternalDarkness」のプロトコルは、 3 年前に WannaCryの拡散に利用されたものと同じプロトコルです。Microsoft はアップデートをユーザーに呼びかけていますが、医療機関も早急にソフトウェアやOSをアップデートする必要があります。

アクセスの制限

病院は可能であれば、インターネットで直接利用できるサービスは使用しないようにしましょう。また、実行可能なファイルに関する厳重なホワイトリストを作成し、病院内のコンピュータで動かすアプリケーションを、既知の信頼できるものだけに限定することが大切です。

「デジタル衛生」のトレーニング

実際の衛生管理を徹底するだけでなく、デジタル上のウイルスにも感染しないために、いわば「デジタル衛生」の管理も大切です。デジタルセキュリティに関して定期的に研修を実施し、従業員にガイドラインを配布しましょう。病院のスタッフが、サイバー犯罪の事例と手口を把握しておくことが肝心です。例えばメールを用いた攻撃は、サイバー犯罪者が多用する手段の一つです。見覚えのない送信者からのメールが来た場合は特に警戒し、リンクをクリックしたり、添付書類をダウンロードしたりしないよう注意しましょう。

定期的なバックアップ

ファイルがバックアップされていれば、システムの復元とデータの回復ができるため、ランサムウェアの影響を抑えられます。患者のカルテなどの重要な文書は定期的にバックアップをし、データを暗号化されてしまった場合に備えましょう。万一を想定し、データはクラウドと物理的なストレージの両方に保存することも重要です。また、すべてをデフォルトの状態にした設定画面のスクリーンショットを撮っておくと、攻撃を受けた PC を元の状態に復元する際に役立ちます。

ランサムウェアに感染した場合にとるべき行動

最悪の事態に何をすべきか、知っておくことも大切です。ここでは、病院がランサムウェア攻撃を受けてしまった場合の対処法をご紹介します。

ステップ 1:感染したデバイスを隔離する

Windows PC がランサムウェアに攻撃された場合は、ネットワーク内の感染したコンピュータあるいはデバイスを特定し、それらの接続をすべて遮断しましょう。有線でも無線でも、接続されたデバイスは全て確認することが大切です。これにより、他のコンピュータ、タブレット、スマートフォンにランサムウェアが拡散することを阻止します。

その際、外部のストレージも含め、ネットワーク内のデバイスとその他の機器との接続は全て切り、感染した PC に接続していた機器が他にないか、確認しましょう。感染したPCに接続していた機器やデバイスがあれば、そこに身代金を要求するメッセージが届いていないかも確かめましょう。

ステップ 2:ログを収集し、フォレンジック イメージを作成する

デバイスを隔離し、ネットワーク内での被害拡大を阻止したら、次は追跡調査のために稼働システムのフォレンジックイメージを作成します。このフォレンジックイメージの作成は、攻撃された経緯や証拠を確認するために行われるもので、これによりPC内のログやイベントが凍結されるため、侵入経路や被害の範囲を格段に特定しやすくなります。

ステップ 3:ランサムウェア攻撃の種類を特定する

次に、ランサムウェアの種類を特定して、対処法を絞り込みます。マシンに侵入したランサムウェアの種類の特定には、ランサムウェアに対抗するプロジェクト「No More Ransom 」が提供している Crypto Sheriff の利用をおすすめします。これは欧州刑事警察機構(ユーロポール)が提供しており、攻撃者によって暗号化されたファイルや、身代金を要求するメッセージを確認できる便利なツールです。Crypto Sheriff によって暗号が解析され、解決策が見つかった場合は、暗号解除プログラムのダウンロードリンクが表示されます。

また、PC のトラブルシューティングと技術サポートを提供している フォーラムにも、ランサムウェアに関する情報が掲載されている場合があります。新種のランサムウェアであっても、対処法を提案するスレッドや、フォーラムのメンバーが解決に向かって意見を交換しているスレッドがあるので見てみましょう。

ランサムウェアに感染したファイルの中には、暗号化された後、ファイル名や.exe、.docx、.dllなどの拡張子が変わっているものがあります。技術フォーラムでサポートを依頼する際は、暗号化されたファイルの名前や拡張子で検索すると、該当するトピックを見つけやすくなります。

例えば以下のフォーラムが、追加の情報源として参考になります。

ステップ 4:ランサムウェアを除去する

最後に、PC に侵入したマルウェアを除去しましょう。Windows 10、8、7 においては、ランサムウェアを除去するために以下のようなやり方があります。

  1. ランサムウェアが自動的に削除されているかどうかを確認する(案外、自動で削除されている場合が多いです)
  2. アバスト アンチウイルスなどのアンチウイルスソリューションを使ってランサムウェアを除去する。
  3. 悪意のあるプログラムを手動で削除する
  4. イメージからシステムを再インストールする。

また、 アバストの公式サイトでもランサムウェアを削除するための詳細な手順をご紹介しています。

世界中の人々は今ウイルスから身を守ろうとしていますが、ウイルスからデバイスを保護することも同じように大切です。アバストでは、引き続き様々な脅威の阻止に取り組んでいきます。

この記事は2020年3月20日に公開されたHospitals need to protect themselves from digital viruses now more than everの抄訳です。