ランサムウェアはなぜ増えているのか？

序章 - 2024年におけるランサムウェアの急増

2024年にはランサムウェア攻撃が急増し、近年の懸念すべき傾向をさらに深刻化させています。ランサムウェアの国際的な状況はますます複雑になり、攻撃者は多様な分野の脆弱性を狙うたっめに高度な技術を駆使しています。特に医療業界は、機密性の高いデータと重要なサービスを提供するため、非常に高いリスクにさらされています。

ランサムウェアの増加にはいくつかの要因があります。まず、COVID-19パンデミックが様々な業種でデジタル化を加速させたことで、オンライン上に移行するシステムやデータが増加し、攻撃の対象が広がりました。この変化により、サイバー犯罪者が脆弱性を悪用する機会が増えています。さらに、Ransomware-as-a-Service（RaaS）の普及により、サイバー犯罪が一般化し、技術的スキルが低い攻撃者でも、事前に用意されたランサムウェアキットを使って高度な攻撃を行うことが可能になっています。

医療分野におけるランサムウェアの影響は甚大です（詳細は「医療におけるランサムウェアガイド」を参照してください）。病院や医療提供者は大量の個人情報や機密データを管理しており、攻撃者にとって高額な身代金を要求する絶好の標的となっています。この分野でのランサムウェア攻撃の影響は、金銭的損失を超えて患者のケアや安全性にまで影響を及ぼす可能性があります。例えば、国分生協病院へのランサムウェア攻撃は、緊急および一般外来サービスを混乱させ、医療機関における強固なサイバーセキュリティ対策の重要性を浮き彫りにしました。

サイバーセキュリティはランサムウェアの脅威を抑えるために重要な役割を担っています。高度なセキュリティプロトコルの導入、定期的な監査、従業員のトレーニング、そして強力なインシデント対応計画は、これらの攻撃から守るために欠かせない戦略です。ランサムウェアの手法が進化するにつれて、特に医療のような脆弱な分野では、防御策も進化させる必要があります。

目次

• 1. 2024年におけるランサムウェア事例の増加についての概要
• 2. 2024年におけるランサムウェア攻撃の主な標的：医療業界
• 3. 医療業界がランサムウェアに弱いのは何故か？
• 4. CISOからのメモ
• 総論
  
  

1. 2024年におけるランサムウェア事例の増加についての概要

ランサムウェア攻撃の増大

2024年にはランサムウェア攻撃が著しく増加し、ここ数年懸念される傾向が続いています。2024年の初めの数ヶ月間だけでも、ランサムウェアの事例が急増し、前年の同時期を上回る数となっています。

BlackFog.comの2024年5月のランサムウェアレポートの重要な記述の一つでは、この傾向を明確に示しています。グラフによると、未報告のランサムウェア攻撃が865%増加しており、これは過去の年と比べて公表されていない事例が急増していることを示しています。これはつまり、組織は評判の損失や経済的な罰則を避けるために、攻撃を内部で処理する傾向が強まっていることが明らかとなっています。

報告によると、2024年5月にはランサムウェアの活動が著しく増加しました。これは、年の進行とともに攻撃が増え、中頃にピークに達するという広範な傾向の一部です。また、報告書は、これらの攻撃の多くがPowerShellを利用していることを示しています。PowerShellは、サイバー犯罪者が悪意のある活動を自動化し、検出を避けるためによく使われる強力なスクリプト言語です。

2024年におけるランサムウェア攻撃の平均支払額は$381,980と報告されています。これは2023年第4四半期から32%減少したものの、依然として被害を受けた組織にとっては大きな経済的負担です。さらに、この期間のランサムウェア攻撃の92%がデータ流出を伴っており、現代のランサムウェア事件が単にデータを暗号化するだけでなく、盗み出して被害者をさらに脅迫するという二重の脅威を持っていることを示しています。

主なランサムウェアグループとその戦略

2024年には、いくつかのランサムウェアグループが特に活発に活動しています。BlackCat、AlphV、LockBitといったグループは、進化し続ける高度な戦術でランサムウェアの世界を支配しています。これらのグループは、身代金が支払われない場合に盗まれたデータを公開すると脅す「二重恐喝」といった洗練された手法を採用しています。この戦術は、被害者に支払いを迫るだけでなく、攻撃の影響を増大させ、機密情報を危険にさらします。

例えば、BlackCatランサムウェアグループは、2023年後半に大きな脅威として浮上し、2024年も活動を続けています。このグループは、ターゲットの特定の脆弱性に基づいて攻撃をカスタマイズできる高度にカスタマイズ可能なランサムウェア・アズ・ア・サービス（RaaS）モデルで知られています。このアプローチにより、BlackCatは近年では最も多く実行するランサムウェアグループの一つとなっています。

主な攻撃事例の分析

2024年初頭に発生した最も深刻なランサムウェア事件の一つは、米国の主要な医療支払い処理会社であるChange Healthcareへの攻撃でした。この事件では、2200万ドルという巨額の身代金が支払われ、近年でも最大級の支払い額となりました。この攻撃は多くの医療提供者に影響を及ぼし、重要なインフラがランサムウェアの脅威に対していかに脆弱であるかを明らかにしました。

もう一つの注目すべき事例は、2024年2月にヨーロッパの自動車メーカーが受けた攻撃です。この攻撃はLockBitランサムウェアグループによって行われ、生産が数日間停止し、重大な財務的損失をもたらしました。攻撃者はフィッシングメールと、メーカーのネットワーク内の既知の脆弱性を悪用する手法を組み合わせてアクセスし、ランサムウェアを展開しました。

世界中で発生しているランサムウェア攻撃の詳細な統計情報については、https://www.comparitech.com/blog/information-security/global-ransomware-attacks/ をご参照ください。

2. 2024年におけるランサムウェア攻撃の主な標的：医療業界

Change Healthcareに対するランサムウェア攻撃

2024年初め、米国の主要な医療支払い処理会社であるChange Healthcareが大規模なランサムウェア攻撃を受け、その結果、ランサムウェアの脅威が一層明確になりました。この事件は、2200万ドルという多額の身代金が支払われたことに加え、医療業界全体に広範な影響を及ぼした点でも注目されています。攻撃によりChange Healthcareの業務が停止し、多くの医療施設で支払い処理や患者記録の管理に支障が生じました。この混乱は、医療システムの脆弱性と、この分野での強力なサイバーセキュリティ対策の必要性を強調しています。

攻撃者はBlackCatランサムウェアグループであると特定され、巧妙な手法を用いてシステムに侵入しました。彼らはフィッシング攻撃を行い、ネットワーク内の既存の脆弱性を悪用して不正なアクセスを行いました。侵入後、重要なデータを暗号化し、「機密情報のリーク」と「暗号化されたファイルへのアクセスを回復する」ために身代金を要求しました。このデータの暗号化と情報公開の脅威を組み合わせた二重の脅威アプローチは、ランサムウェアグループの間で一般的な戦術となり、被害者に身代金の支払いを迫る圧力を増大させています。

医療業界への影響とその後の展開

Change Healthcareへの攻撃は、医療業界全体に大きな影響を及ぼしました。Change Healthcareのサービスに依存している病院やクリニックでは、患者ケア、請求、管理業務に遅れが生じ、混乱を招きました。この混乱は、治療の遅延や患者の待ち時間の増加、医療サービスの質の低下といった深刻な結果を引き起こす可能性があります。さらに、身代金の支払いによる財政的負担に加え、システムの復旧やサイバーセキュリティ対策の強化にかかるコストが、影響を受けた組織にさらなる負担を与えました。

この事件は、医療分野におけるランサムウェア問題への関心を大いに高めました。医療業界は、大量の機密個人情報を取り扱うことで知られ、サイバー犯罪者にとって魅力的な標的となっています。この分野でランサムウェア攻撃が成功すると、患者のケアや安全性に深刻な影響を及ぼす可能性があります。そのため、サイバーセキュリティ対策の強化や医療インフラの保護に向けた投資の重要性が増しています。

医療業界の取り組み

ランサムウェアの脅威が増す中、医療機関はサイバーセキュリティ戦略の再評価を進めています。攻撃を事前に防ぎ、その影響を最小限に抑えるための積極的な対策が重視されています。改善が必要な主な領域は以下の通りです。

1. サイバーセキュリティトレーニングの強化: 全てのスタッフが最新のサイバーセキュリティの脅威やベストプラクティスを理解することは極めて重要です。定期的なトレーニングセッションを通じて、従業員はフィッシング攻撃やその他の一般的な攻撃手法を認識し、それを回避する能力を向上させることができます。
2. 先進的なセキュリティ技術の導入: 侵入検知システムやエンドポイント保護、ネットワークの分割といった先進技術を活用することで、不正アクセスの検出と防止が可能です。さらに、多要素認証やデータの暗号化を導入することで、機密情報の安全性をさらに強化できます。
3. 包括的なインシデント対応計画の策定: 明確に定められたインシデント対応計画を持つことは、ランサムウェア攻撃に対する組織の対応力と復旧力を大幅に強化します。これには、計画の有効性を確保するための定期的なテストと更新が含まれます。
4. サイバーセキュリティ専門家との協力: サイバーセキュリティ企業と提携することで、医療機関は防御力を強化するための専門知識を得ることができます。これらの企業は、脆弱性評価、脅威インテリジェンス、インシデント対応支援などのサービスを提供できます。
5. 規制の遵守を徹底: 医療保険の携行性と責任に関する法律（HIPAA）などの規制基準やガイドラインに従うことで、医療機関は強固なセキュリティ対策を維持することができます。

Change Healthcareへの攻撃は、医療業界全体に警鐘を鳴らしました。この事件は、ランサムウェアやその他のサイバー脅威から守るために、サイバーセキュリティ対策の強化が急務であることを浮き彫りにしました。医療機関が進化する脅威の状況に適応し続ける中で、業務と管理する機密データを守るために、サイバーセキュリティを最優先にする必要があります。

これらの積極的な対策を実施することで、医療業界はランサムウェア攻撃に対する防御力を高め、患者ケアや組織の安定性への影響を最小限に抑えることが可能です。Change Healthcareの事件から得られた教訓は、医療分野のサイバーセキュリティの未来を築き、より強固で安全な業界の発展を促進するでしょう。

3. 医療業界がランサムウェアに弱いのは何故か？

固有の脆弱性

医療機関は、いくつかの理由からランサムウェア攻撃に対して特に脆弱です。これらの機関は、患者ケアのために電子カルテ（EHR）、画像システム、その他のデジタルツールへの継続的なアクセスに大きく依存しています。ランサムウェア攻撃はこれらの重要なシステムを混乱させ、医療手続きの遅延を引き起こし、深刻な場合には患者の生命に危険を及ぼす可能性があります。

医療データは闇市場で特に価値があります。患者の記録には、個人識別情報、医療履歴、保険情報などの機密情報が含まれており、サイバー犯罪者にとって高値で取引される魅力的な標的となります。また、これらのデータは、身元盗用や詐欺に利用される可能性もあります。

官僚的および規制に関する課題

医療業界は、官僚的および規制上の大きな課題に直面しています。アメリカの医療保険の携行性と責任に関する法律（HIPAA）などの規制に従うためには、患者情報を守るための厳格なセキュリティ対策が必要です。これらの対策を実施し続けることは、複雑で多くのリソースを要します。

さらに、多くの医療機関は高コストや規制上の制約のために、古いソフトウェアやハードウェアを使用しており、サイバー攻撃に対してより脆弱です。レガシーシステムは、サイバー犯罪者が悪用しやすい重大な脆弱性を生み出します。

経済的および業務上の影響

ランサムウェア攻撃は、医療機関に対して重大な経済的および運用上の悪影響をもたらします。Change Healthcareがランサムウェア攻撃を受けた際に支払った2,200万ドルの身代金が示すように、要求される金額は非常に高額になることがあります。身代金の支払いに加え、医療提供者はシステムの停止時間、データの復旧、規制に伴う罰金などのコストにも直面します。

運用の混乱は深刻なものとなる可能性があります。例えば、前述の国分生協病院へのランサムウェア攻撃では、画像管理サーバーが機能しなくなり、緊急および一般外来サービスに影響を及ぼしました。このような混乱は、診断や治療の遅延を引き起こし、患者のケアや安全性を損なう恐れがあります。

危機時におけるリスクの増大

COVID-19パンデミックは医療分野の脆弱性をさらに深刻化させました。患者管理のためのデジタルツールへの依存が高まり、リモートワークが急増したことでサイバー犯罪者が侵入する機会が増加しました。パンデミック中の医療資源の緊急性と負担が、重要なサービスを迅速に復旧するために身代金を支払う傾向を強めました。

より優れたサイバーセキュリティ対策の必要性

これらの課題に対処するために、医療機関は強固なサイバーセキュリティ対策を優先する必要があります。定期的なセキュリティ監査、サイバーセキュリティのベストプラクティスに関する従業員のトレーニング、そして高度な脅威検出および対応システムの導入が不可欠です。サイバーセキュリティ体制を強化することで、医療機関はランサムウェア攻撃から自身をより効果的に守り、患者ケアの継続性を確保することができます。

4. CISOからのメモ

Gftd Japanの最高情報セキュリティ責任者（CISO）として、特に医療分野でのランサムウェア攻撃の急増を目の当たりにしています。この増加は、Ransomware-as-a-Service（RaaS）の登場に大きく起因しています。RaaSは、技術的スキルが低い犯罪者でも高度な攻撃を仕掛けることを可能にするモデルです。RaaSはランサムウェア攻撃を効率的かつ組織的に行う手段を提供し、サイバー犯罪者がシステムの脆弱性を悪用しやすくしています。その結果、これらの事件の頻度と深刻さが大幅に増加しています。

組織、特に医療提供者にとっての主要な課題の一つは、ランサムウェア攻撃に対する対応の複雑さです。システムが暗号化されると、業務を迅速に復旧することが非常に困難になります。多くの組織は、必要な専門知識やリソースが不足しているため、これらの攻撃に自力で対処せざるを得ない状況に陥ります。このため、復旧に時間がかかり、業務が停止することによる多大な経済的損失が発生します。業務の停止は、患者のケアや重要なサービスの提供に直接的な影響を及ぼし、組織の信頼性を損なう可能性があります。さらに、データの流出や機密情報の漏洩のリスクも高まり、組織の評判に長期的なダメージを与えることがあります。このような状況では、身代金を支払うことが、長期的なダウンタイムや機密データの喪失のリスクを考慮すると、最も現実的な選択肢に見えることがあります。特に、医療機関では、患者の安全とケアの継続性を確保するために、迅速なシステム復旧が求められるため、身代金の支払いが一時的な解決策として選ばれることが多いです。しかし、身代金を支払うことは、ランサムウェア経済を助長し、攻撃者が活動を続ける動機を与えることにもなります。

これはChange Healthcareの事例であり、ランサムウェア攻撃を受けた後、2200万ドルの身代金を支払いました。Change Healthcareのような大規模な組織にとって、システムのロックや機密データの漏洩リスクによる損失は、身代金の支払いを上回るものでした。しかし、身代金を支払うことはランサムウェア経済を助長し、攻撃者が活動を続ける動機を与えます。特に医療のようにリスクが非常に高い分野を狙う場合、彼らにとっては簡単で利益の大きいターゲットと見なされます。

医療分野のサイバーセキュリティには特有の課題があります。医療環境で使用される多様でしばしば古いシステムが、セキュリティ対策を複雑にしています。銀行や重要インフラのような他の分野とは異なり、医療では同じセキュリティ対策を単純に採用することが、患者ケアを妨げる可能性があります。医療における効果的なサイバーセキュリティには、医療と技術の両方の状況を深く理解することが求められます。

一部の規制当局は身代金の支払いを禁止する法律を検討していますが、この方針は医療機関やその患者に重大な影響を与える可能性があります。身代金を支払えない場合、サービスが長期間中断し、データや財務的損失に加え、重要な医療サービスが停止することで患者の命が危険にさらされるリスクがあります。

医療機関はこの問題に単独で対処することはできません。ランサムウェアから守るためには、強力なサイバーセキュリティ対策の実施や、セキュリティコンサルタント、法執行機関、規制当局、政府機関との協力を含む包括的な戦略が必要です。攻撃者が組織化され、RaaSを利用して能力を高めているように、医療提供者も支援ネットワークと高度なセキュリティソリューションを活用して、これらの脅威に効果的に対抗し、対応する必要があります。

Gftd Japanでは、医療機関のサイバーセキュリティ体制の強化を支援することに尽力しています。私たちのセキュリティコンサルティングと監査の専門知識は、重要なシステムを保護し、患者データの安全性とプライバシーを確保するのに役立ちます。協力することで、ランサムウェアの脅威に耐えうる強固な医療システムを構築することが可能です。