10月下旬、フィンランドで医療機関を狙ったハッキングが発生した。攻撃されたのは民間の精神療法施設であるVastaamo(ヴァスターモ)だ。今回、F-Secure CRO(Chief Research Officer:研究所主席研究員)を務めるMikko Hypponen(ミッコ・ヒッポネン)氏に解説してもらった。
--今回の件は、どのようなものでしょうか?
ヒッポネン氏:Vastaamoはフィンランドにおける民間の精神療法施設でオンラインサービスも提供しています。実は2018年から2年にわたり攻撃を受けており、データをハッキングされていました。
そして、今年9月にハッカー側から具体的な接触があり、まずはビットコインにより病院に対して45万ユーロ(約5500万円)要求してきました。どのような手法かは明らかになっていません。現状では金銭の支払いを拒否しており、支払わなければハッカーは入手した約5万人分のさまざまな個人情報やセラピストとの個別のセッション内容などを公表すると脅しています。
まずは病院に対して金銭の要求があったことに加え、10月24日には各患者に対してEメールで200ユーロの支払いを要求し、24時間以内に支払わなければ氏名や社会保障番号などの個人情報を公開すると脅しました。そして、24時間が経過して支払いに応じなかった人に対して、48時間以内に500ユーロの支払いを要求していますが、現時点(10月28日)ではハッカー側の動きがないようです。
なぜ、病院を狙った攻撃が発生したのでしょうか?
ヒッポネン氏:ハッキングの動機自体は金銭以外は考えられないですね。病院、医療機関を狙った攻撃は、これまでにも20件程度ありました。しかし、病院・医療機関を狙った攻撃だとしてもランサムウェアを使い、ファイルを暗号化して金銭を要求していました。
今回はランサムウェアではなく、ハッキングして窃取した情報をもとに公開するという脅迫であるとともに、患者さん個人に対して特定の情報を公開すると脅しており、同様のケースは世界的にみても3件(アメリカ、イギリス、リトアニアの美容整形外科)のみです。そういう意味ではレアなケースです。
今回のケースは人口500万人の1%にあたる5万人の情報が流出していることから、フィンランドとっては大きな打撃です。フィンランドの大統領、首相、司法当局、民間企業も含めて総力を挙げて摘発するという機運を生み出しているほど規模が大きいものになっています。重要なのは窃取されたセラピーノートなどの情報を絶対に公開させないことです。現時点では情報の公開も含めて、被害は発生していないようです。
今後の対処について教えてください。
ヒッポネン氏:Vastaamoのセキュリティ体制は不十分であったことから、そういう意味では一部責任があります。
今後、公的、民間機関を問わず、医療機関における患者の個人情報のセキュリティを担保することを、改めて再考しなければなりません。また、短期間ではなく、数十年という長期間にわたりセキュリティが担保されることも重要です。しかし、長期間で取り組むためには課題も出てくるため今後検討しなければなりません。
そして、F-Secureとしても最重要案件として取り組んでいます。複数のチームで調査・活動を行っており、今回の攻撃がどのような運用の中で発生したのかの精査や、ビットコインの全体の流れ中でシッポを捕まえるヒントの有無の調査、使われた言語の追跡などを行っています。
これは、患者さんの弱みつけこんだ犯罪のため、絶対に許容できません。私自身は全力を挙げて、この案件のみに専従して取り組んでいます。