徳島県つるぎ町立半田病院ランサムウェア被害、1年後の真実とは?
犯罪集団に3万ドル支払いか ロシア拠点ハッカーが主張【共同通信】
昨年10月に身代金要求型コンピューターウイルス「ランサムウエア」によるサイバー攻撃を受け、一部診療停止に陥った徳島県つるぎ町立半田病院を巡り、ロシア拠点のハッカー犯罪集団が「データの『身代金』として3万ドル(約450万円)を受け取った」と主張していることが26日、分かった。
つるぎ町立半田病院がランサムウェアに感染したのは昨年2021年の10月31日。ほぼその1年後に、「多額の身代金が払われたのではないか?」という疑惑が報じられました。結論から言うと、現実社会における海外で発生した日本国民に対する誘拐事件での解決同様、身代金が支払われたのか否かは藪の中です。今回もLockbitと呼ばれるランサムウェアをあやつる犯罪組織が、「身代金を受け取った」と宣言していることは事実でしょうが、彼らが本当に身代金を受け取っているのかも含めて、誰も身代金を送ったことを肯定していないことからその事実関係は憶測の域を越えません。
半田病院は有識者会議報告書でも強く主張しているように、Lockbitと接触した事実はなく、当然、身代金を払った事実はありません。復旧会社からも身代金を代替して支払ったという報告もありません。逆に半田病院からの復旧会社への身代金支払いの問い合わせについて強く否定しています。
病院のランサムウェア事件、ロシア系犯人を直撃取材 払っていないはずの「身代金」を支払ったのは誰なのか【山田敏弘】
この報告書の内容は、セキュリティ関係者らを困惑させた。というのも、ランサムウェアの身代金を払って暗号解除のための鍵を受け取っていないにもかかわらず、「データを復元できた」と、まとめているからだ。
さらに有識者会議の報告書には、Lockbit側の鍵を無償で提供したという発言と、復号プログラム(復号鍵)とデータ復元の関係についても書かれていないという指摘もありますが、前者については把握しているものの事実確認が出来ず(本当に無償で提供したのかという事実関係)、データ復元についても復旧会社自体が「独自の技術力で復旧に成功した」と主張し、その証明については一切明らかにしないことから信用せざる得ない状況であったことで詳細な言及を避けています。もちろん、有識者会議の会長である筆者自身も含めてすべての委員が疑念を持っていました。それゆえに報告書の3.4.3.5節 データの復旧の項目において、「何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある。」と間接的に復号プログラムの入手について触れています。
当初、このLockbitなる犯罪組織は身代金を受け取っていないと説明していました。筆者が知る限り、2022年1月以降、複数の人が犯罪組織と接触していて、一貫して身代金を受け取っていないと主張していました。具体的にはアフリエイトと呼ばれる末端の犯罪者が勝手にランサムウェアを感染させてのではないかという主張です。さらにLockbit側は1月になってから、半田病院の代理を騙る自称ジャーナリスト(ツイッター名も判明している自称ホワイトハッカー)から半田病院が感染していることを初めて知り、その人物に復号鍵(復号プログラム)を無償で提供したと言っています。後日、この自称ジャーナリストと接触した人からの情報では、「確かに鍵は受け取った、そして第三者に送った」ということは認めていますが、誰に送ったかは明かさないということでした。また、このときLockbitは非常に高額な復旧費用を半田病院に支払わせて復旧させたことを知って(時系列を考慮することなく)、欺かれたとして、その自称ジャーナリストを脅迫しています。Lockbitはこの自称ジャーナリストが仲介して、復旧会社に鍵が渡ったと考えたようです。この自称ジャーナリストはLockbitを敵に回したことになり非常に怯えていたそうです。
その後もLockbitは半田病院の件で接触してきた複数の人に対して、身代金は受け取っていないと言い続けていました。2022年10月になって突然、「身代金を受け取っていた、6万ドルを要求したが、交渉の結果、3万ドルの支払いを受け、復号プログラムを渡した」と証言を翻しました。急に翻した理由は「大量の身代金の受け渡しデータがあるので、見落としていた」というものです。
この一連の流れの中で、身代金を払うことなく、すなわち復号プログラムを得ることなく、如何にして復旧会社がデータの復元に成功したのかということが大きな疑問ですが、それ以上に、なぜ一年近く経って、身代金を受け取ったと認めたのでしょうか。その理由が受け渡しデータを見逃していたというのはあり得ないことです。半田病院のランサムウェアに関しては一意のIDが割り当てられており、このIDに基づいて復号プログラム(復号鍵)が紐づいており、身代金の受け渡しに関してもIDに紐づいてるはずです。Lockbitはこのランサムウェアを感染させたアフィリエイトを3月の時点で除名したとも言っていることから(事実かどうかは別にして)、データの管理は出来ていたはずです。
復旧会社の主張を信用することなく、すべて否定し、犯罪組織であるLockbitの主張をすべて受け入れるならば、復旧会社が身代金の受け渡しを一切否定した半田病院に抗って、秘密裏に、Lockbit側と交渉し、自ずからでなくとも代理の会社を介して、復旧費用から身代金を捻出し支払うことによって復号プログラムを入手し、それに基づいて復旧を可能ならしめたとすることが一番筋が通ります。しかしながら、その前提であるLockbitの主張を信用して良いものでしょうか。
Lockbitの主張が必ずしも正しいものでないとすると、なぜ今になって身代金の受け渡しを認めた、あるいは事実でないにもかかわらず身代金を受け取ったと宣言したのでしょうか。察するに身代金の受け渡しに窮している実情があるやも知れません。日本以外の国々でもランサムウェアの被害は拡大しているものの、以前に比べてその対策がなされつつあります。更にはかつて身代金に対してはサイバー保険での支払いが行われていたものの、近年の身代金支払いの件数が増加することで、その保険料が多額になること、そして免責事項として身代金充当としていることから、身代金の支払いも著しく低下してきています。特に日本では社会悪として身代金の支払いを拒絶する意識作りが功を奏して、他国に比較して身代金を支払う件数は著しく低い状況です。Lockbit側が身代金を支払うことによって復旧できることを改めてアピールしたかったのではないでしょうか。
筆者は有識者会議の会長でもあることから、すべての事実を明らかにすることはできませんが、報告書に記載したことは事実であり、この記事は有識者会議での守秘義務に反しない範囲で事実を明らかにし、かつ疑問点を疑問のままですが、明確にしました。現在のところ、真実は「藪の中」のようです。