Yahoo!ニュース

ランサムウェアの真実 ~その被害と限界~

森井昌克神戸大学大学院工学研究科 特命教授・名誉教授

昨年、国内でのランサムウェアの最大の話題は徳島県つるぎ町立半田病院の事案と言っても良いでしょう。直接的な身代金(ransom, ランサム)の支払いはなかったものの、復旧に二か月を要し、その二か月間の復旧会社、そして電子カルテのベンダー、そのベンダーとの仲を取り持つ、運用管理を担う地方地元ITベンダーの対応が有識者会議の報告書によって明らかになり、議論を呼び起こしました。

ランサムウェア自体による被害についても半田病院以降、国内の病院に対してでさえ次々と感染、被害事実が公になり、改めて2022年3月にはトヨタ自動車の主要取引先である小島プレス工業がランサムウェアの被害に遭い、小島プレス工業の問題だけにとどまらず、トヨタ自動車の国内全工場が丸一日停止する等、サプライチェーンとしてのランサムウェア被害の実態も改めて話題となりました。

余談ですが、昨年10月末の半田病院の事案以降、2022年6月、また同じ徳島県内の鳴門山上病院がランサムウェアの被害に遭いました。同じ種類のLockbit2.0というランサムウェアの被害です。鳴門山上病院に関しては、翌日にはほぼ復旧しています。何が異なったのでしょうか。実は鳴門山上病院の事業担当の医師が、半田病院の事業担当の医師と同級生で、被害に遭う少し前に半田病院の事業担当者の講演を聞いていて、同級生としての会話から「オフラインバックアップを取るように!」と強く勧められ、その指示に従ったところ、週末のバックアップを取ってまもなく、ランサムウェアに感染し、事実上、一部のデータのみが紛失(暗号化)しただけで、復旧が容易となったのです。

オフラインバックアップとは、ネットワークと物理的に切り離して、バックアップを取ることです。物理的に切り離されているので、ランサムウェアの感染によって暗号化、すなわちデータが破壊されることはないのです。半田病院ではバックアップを取っていたものの、オンラインバックアップという、ネットワークにつないだ状態で定期的にバックアップを取っていたことから、バックアップ自体も破壊されてしまいました。

そのランサムウェアにおける最大の脅威は二重の被害をもたらすことにあると言われています。一つは事実上のデータの破壊(暗号化)です。身代金を払わなければ復旧できない、つまり暗号化を解く復号鍵を渡さないとして脅迫することです。身代金を払う払わないの問題は改めて議論しましょう。一般的にここでは支払いを拒否すすることとすると、その復旧はオフラインバックアップを適時取っていなければ非常に困難であると言わざる得ません。もう一つの被害は情報漏えいとその公開です。つまりランサムウェアを仕掛けた犯罪者は、データを暗号化するだけでなく、暗号化する前のデータを盗み取り、それを公開する、あるいは他者に売り渡すと言って脅迫するのです。被害者にとっては二重の被害、犯罪者にとっては二重の脅迫になるのです。

このランサムウェア、上記のような大きな事件が昨年来多発し、不幸にも知名度を上げる結果となりましたが、一般にはその実態について必ずしも十分に理解されていません。

まずランサムウェアに感染し、データが暗号化されたからと言って、即座に復旧できないわけではありません。身代金を払うことなく、データを復元できる場合もあり得ます。ランサムウェアには数多くの種類があり、その中には、すでに復旧方法が解明されていたり、犯罪者側から復号鍵が公開されている場合もあるのです。特に古いタイプのランサムウェアの多くは復旧方法がすでに解明されています。ランサムウェアに感染したからと言って、すぐに悲観することなく、ランサムウェアの知識に長けた専門家に相談すべきです。

さらにランサムウェアに感染したからと言って、一瞬でデータが消えてしまう(暗号化されてしまう)わけではありません。データを暗号化するには一般の人が想像する以上に時間がかかるのです。50GB程度の大きさのファイルを暗号化するためには、ランサムウェアの種類によって異なり、ファイルの数やその構造にも依存し、またその感染したパソコン、サーバの能力にも寄るのですが、最短5分程度、場合によっては2時間近くかかるのです。半田病院クラスになれば、電子カルテ(画像データ含む)の大きさは1TB程度はふつうですから、最短でも数時間かかることになります。もしランサムウェアに感染し、それが暗号化しだしたとしても、初期の段階で止めることができれば、被害は最小に抑えることが可能になるでしょう。

また、データが盗み取られる問題でも、一瞬にしてデータが盗られるわけではありません。通信速度は有限なのです。もし光ファイバを使ったインターネット接続を行っていたとしても、通常最大1Gbpsの速度です。つまり1秒間に、130MBしか盗み取ることはできません。先ほどの50GBのデータであれば約7分かかるのです。通常、データを正常に送る先は限られますから、あらかじめ登録されたところ以外に大量のデータを送ろうとしている場合は、すぐに判明し、遮断することにより、一部のデータの漏えいで被害を最小にくい止めることが可能になります。

このようにランサムウェアは万能ではなく、ランサムウェアゆえの固有の欠点を持つことから、それを利用し、ランサムウェアの感染を防ぐのではなく、オフラインバックアップを含めて、感染することを前提に被害を最小にくい止めることに主眼を置けば、対策はいくつもあるのです。

森井昌克
神戸大学大学院工学研究科 特命教授・名誉教授

1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工芸繊維大学助手、愛媛大学助教授を経て、1995年徳島大学工学部教授、2005年神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。情報通信工学、特にサイバーセキュリティ、インターネット、情報理論、暗号理論等の研究、教育に従事。加えて、インターネットの文化的社会的側面についての研究、社会活動にも従事。内閣府等各種政府系委員会の座長、委員を歴任。2018年情報化促進貢献個人表彰経済産業大臣賞受賞。 2019年総務省情報通信功績賞受賞。2020年情報セキュリティ文化賞受賞。電子情報通信学会フェロー。

森井昌克の最近の記事