ランサムウェアにファイルを暗号化されてしまった2つの組織の分かれ道身代金を払うか、払わないか

米国の2つの医療組織がランサムウェアに感染し、ファイルを暗号化されてしまった。身代金を払うべきか否か? 2つの組織がそれぞれ下した決断とは?

2016年06月01日 08時00分 公開
[Warwick AshfordComputer Weekly]

 米ワシントンD.C.やメリーランド州で病院を10カ所経営している医療法人グループMedStar Health(以下MedStar)はシステム障害発生当初、同団体のITシステムが「ウイルスに感染した」ので、その拡散を防ぐためにシステムを全面停止したと説明していた。

 その後MedStarが発表した声明によると、患者の治療情報をサポートしている医療情報システム3系統は、マルウェア攻撃を受けてから48時間以内に「全面復旧への移行段階に入った」と重ねて説明した。また、「今回被害がなかった院内システムにも機能を追加して(セキュリティの)強化に努めている」と話し、患者の個人情報やその関連データには被害が及んでいないと強調した。

 感染したマルウェアについてMedStarから詳細な説明はないが、現地の地方新聞『Baltimore Sun』紙の報道によると、同団体を襲った攻撃の正体はサーバを標的とする新種のランサムウェア「Samas」だという。

 Samasは他のランサムウェアと同様、攻撃対象のデータを暗号化する。そして追跡が困難な仮想通貨「ビットコイン」で身代金を支払った場合のみ、攻撃者はデータを復元する。

 このランサムウェアは、ユーザーに焦点を当てたフィッシングメールなどに依存しない。その代わり、このランサムウェアはサーバを乗っ取り、そのサーバを足掛かりにしてネットワーク全体に拡散し、複数のデータセットを暗号化して「人質」に取る。

 具体的な手法は、Cisco Systemsの一部門であるTalosのセキュリティリサーチャー、ニック・ビアシーニ氏がTalos公式ブログで説明している。

 Samasはまず、オープンソースのネットワークスキャンツール「JexBoss」を使って「JBoss」のパッチを適用していないサーバを特定。そのバージョンのJBossに残っている既知の脆弱(ぜいじゃく)性を悪用する。

 続いて秘密鍵暗号化アルゴリズム「Rijndael」を使い、数百種類もあるファイルタイプに合わせた暗号化を実行。その鍵も2048ビットRSAで暗号化する。こうするとファイルは復元できない状態になる。

 Samasのもう1つの特徴は、暗号化したデータの量が多くなると、その身代金に一括復元割引を提示することだ。Baltimore Sun紙によると、今回のMedStarを狙った攻撃者は、「コンピュータ1台当たり3ビットコイン(1250ドル相当)、コンピュータ全台ならば45ビットコイン(1万8500ドル相当)」の身代金を要求したという。

FBIも関与

 FBIはSamasについての警告を表明し、この強力なランサムウェアの調査を進めるために、実業界やセキュリティの専門家に緊急支援を要請していた矢先にこの事件が発生した。

 FBIはその警告の中で、技術的な指標のリストを提供している。このリストを使えば、Samasの攻撃を受けているか否かの自己診断が容易になるし、社内ネットワークの防御策を(自発的に)実行して、将来同様の攻撃に見舞われるリスクを軽減させることもできる。

 米連邦政府関連ニュースを提供する「Nextgov」によると、FBIが政府機関のネットワークを調査した結果、「マルウェアに感染していて、政府所有のデータが『人質』にされる危険性が29の政府機関で321カ所も検出された」と、米国土安全保障省に対して警告したという。

 全ての事例について、感染したワークステーションを物理的にネットワークから除外するなどの処置を取ってランサムウェアの感染箇所は既に無効化しており、サイバー攻撃を仕掛けてきた相手に対する支払いは実施していないという。

 身代金を強要する事例が最近増加傾向にあるが、そんな攻撃者のたくらみをなるべく成功させないため身代金の要求には原則として応じないように、セキュリティ企業の代表者は勧告している。

身代金の支払い

 しかし実際には、データを失うことで被る損害と身代金とをてんびんにかけて、身代金を全額払う方がましだと考える企業も少なくない。

 MedStarとは別の医療施設であるHollywood Presbyterian Medical Centerは、ランサムウェアを仕掛けられてシステムの制御を奪われた。10日後に攻撃者の要求に屈して40ビットコイン(1万7000ドル相当)を支払い、制御を取り戻した。このことで同病院は一部から批判を受けている。同病院は以下の声明を出した。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






関連記事

ランサムウェアに感染したらまず見るべき復号ツール配布サイト

身代金を支払うその前に、対ランサムウェア復号ツール

「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威

「ランサムウェア」の脅威を避ける基本的な方法


Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ
会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方