Skip to main content
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスクFish & Tips:単に IT だけの話ではない

Risk & Analytics|Corporate Risk Tools and Technology|Cyber Risk Management|Financial, Executive and Professional Risks (FINEX)
N/A

執筆者 足立 照嘉 | 2020年10月20日

先月、サイバー攻撃によって人が亡くなるという痛ましい事件が報じられた。*1
サイバー攻撃は企業や組織だけでなく、更にその向こうにいる「人」にも脅威をもたらしている。
サイバーリスクへの対策・対応として問われているものとは⁉

間違った被害者

2020年9月、ドイツの大学病院のシステムが、救急車を管理するネットワークから突如切断された。

当時、その大学病院へと搬送中だった重症患者を急遽受け入れることができなくなり、新たに決まった30km離れたところにある病院へと移送されることとなった。

ことの発端は、広く使用されている商用ソフトウェアの脆弱性を突いたランサムウェア攻撃を、大学病院のシステムが受けたことによるものである。

この脆弱性は昨年12月に既知*2のものとなっており修正プログラムも配布され、ドイツ連邦政府のセキュリティ担当部門である BSI(Bundesamt für Sicherheit in der Informationstechnik)からも今年1月に注意喚起*3がなされていた。

ところがこの大学病院では30台のサーバが被害に遭ったことで、保存されていたデータが犯人の持つ「鍵」を用いなければ開くことができないよう暗号化され、システムが停止することとなってしまった。

この事件では、ランサムウェア攻撃を受けたサーバのうちの一台に脅迫文が残されていたが、それは「意外な」相手へ宛てたものだった。

なんと被害に遭った大学病院ではなく、この病院が「提携している大学」へ宛てたものだったのだ。

ドイツではこの数ヶ月の間に、大学や研究機関などを狙ったサイバー攻撃が増加している。

危機的な状況

警察はサーバに残された脅迫文を頼りに犯人へ連絡を取り、"被害を受けているのは狙った大学ではなく病院である" こと。

そして "患者が危機的な状況にある" ということを伝えた。

犯人はそこから、システムを復旧するために暗号化されたファイルを復号する「鍵」を提供したものの、残念ながら重症患者にとっては手遅れとなり、病院到着後に亡くなられることとなってしまった。

この病院では通常一日あたり70から120件の手術を行っているが、この日は10件程度の対応となったことも前述のメディア*1では報じられている。

また、残念なことにこのようなランサムウェアを用いた医療機関での被害は、今回が初めてのことではない。

2017年5月に世界150カ国以上で1万以上の組織に甚大な影響をおよぼした WannaCry ランサムウェアによる攻撃。

この時は英国の国民保険サービス(NHS)で数千台もの機器が被害に遭い、19,000人を超える患者の予約をキャンセルするなどの混乱が生じたことが英国会計検査院(NAO)の報告書*4に記されている。

そして本稿執筆時点においては、米国で250の病院や診療所を運営する医療グループでランサムウェアもしくはそれに類するものと考えられるマルウェアを用いたサイバー攻撃が発生し、250の施設すべてが影響を受け、復旧に向けての取り組みが続いている。

(同グループによる最新状況の更新はこちら*5をご参照ください。)

単に IT だけの話ではない

これまでサイバー攻撃による被害はサイバー空間の中だけでのことか、現実世界に実影響があるとしても情報漏えいくらいだろうと思われていた方は案外多い。

しかし、今回は残念ながら人の生死にまで被害がおよぶこととなった。

サイバー攻撃というと IT部門固有の課題、所詮はパソコンの問題じゃないかと高を括っておられる方も残念ながら少なからずおられ、企業や組織また外部ベンダーなどの立場でサイバーセキュリティを推進されておられる方々が苦慮されておられる一因でもある。

しかし、サイバー攻撃が「死」をもたらすのは、今回のように「人」に限ったことではない。

重々ご承知のことと思うが企業にとっても死活問題であり、業務のIT依存度が益々高まっていく中でサイバー攻撃被害に伴う財務リスクが日々高まり続けている。

実際、ドイツの病院で狙われた脆弱性を突いたサイバー攻撃によりソフトウェア会社やゲームメーカーなど世界中の企業でも被害が発生している。

サイバー攻撃とは単に IT だけの話として、IT機器やソフトウェアなどの毀損といったレベルの話ではなく、同時並行的に財務損害へのインパクトが生じる。

また、サイバー攻撃に伴う事業停止による機会損失やレピュテーション低下、顧客や取引先だけでなく株主への対応など多くの対応。そして、6月に改正された個人情報保護法や、グローバルで事業展開されているようであればGDPR(EU一般データ保護規則)などのような海外法規制への対応と、有事の際の制裁といったことも考えられる。

もはやサイバーリスクとは経営リスクの最上段にある中の一つであることは、ご認識のとおりだ。

IT担当者は日々奮闘している

前述の英国会計検査院(NAO)による2017年のランサムウェア被害に関する報告書*4では、NHSがコンピューターシステムを新しいソフトウェアのバージョンに移行したり、インターネットに接続されたファイアウォールを最新の状態に保つといった基本的な ITセキュリティの慣行に従っていれば、WannaCry によるサイバー攻撃を防ぐことができたはずだと指摘している。

しかし多くの企業でも言えることだが、サイバーセキュリティを蔑ろにしている IT担当者は今や極めて少数である(決してゼロというわけではない……)。

では、IT担当者が日々奮闘していても問題が起こってしまう理由とは何なのだろうか?

いくつか理由は思い浮かぶが、ここでは一つ考えられる理由を述べることとしよう。

それは、「ビジネス上の理由でセキュリティ対策を先送りにする、もしくはできない」ということ。

実際、NHSなどの医療機関では、事前に救急搬送されてくる予定など分かるはずもないので、24時間緊迫した状況にある。そのため、なかなか医療機器を停止してソフトウェアの更新作業に踏み切れないという事情も聞く。

かくいう筆者自身もつい先日、懐かしいWindows7の画面をNHSで見たばかりだ。

ご承知のとおり、Windows7のサポートは2020年1月14日で終了している。*6

また、この WannaCry によるランサムウェア攻撃により、日本でも7,000台以上のIT機器が被害に遭っている。

2017年2月にはこの脆弱性が既知のものとなっており修正プログラムが配布されていたため、実際に被害が発生するまでにも3ヶ月ほど時間は有ったことになる。

しかし、修正プログラムの適用によって万が一不具合が生じてしまうことを懸念し、3月決算の企業では5月の決算発表が終わるまでは対応を先送りしていた中で被害に遭われた企業があるのもまた事実だ。

もちろんこれだけではないが、このようにIT担当者による日々の奮闘だけではない乗り越えられない理由によって、被害を招いてしまっていることも多くある。

完全なセキュリティ対策というものは無いし、単にITのリスクを下げていくだけでなく、組織や企業全体の経営リスクとしていかにサイバーリスクへの対策・対応を行っていけるのかが問われている。


出典

*1 https://www.rtl.de/cms/hacker-angriff-auf-uniklinik-duesseldorf-starb-eine-patientin-wegen-einer-erpressung-4615184.html

*2 https://support.citrix.com/article/CTX267027

*3 https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_
160120.html

*4 https://www.nao.org.uk/report/investigation-wannacry-cyber-attack-and-the-nhs/

*5 https://www.uhsinc.com/statement-from-universal-health-services/

*6 https://support.microsoft.com/ja-jp/help/4057281/windows-7-support-ended-on-january-14-20

執筆者プロフィール

Cyber Security Advisor

Corporate Risk and Broking


Contact Us

関連ソリューション