英王室の医療情報を狙ったランサムウェア攻撃集団Rhysida　医療データを公開か：ランサムウェア攻撃集団Rhysidaの手口

ランサムウェア攻撃集団Rhysidaが、英王室と縁の深い病院に攻撃を仕掛けた。報道によるとRhysidaは、王室の医療データと引き換えに身代金を要求している。被害の全容と攻撃の手口は。

≫ 2023年12月27日 08時00分公開

王室御用達の病院を狙ったRhysidaの手口とは

併せて読みたいお薦め記事

Rhysidaの概要と手口

　キングエドワード7世病院は、英王室との縁が深い病院だ。現南アフリカの支配を争点とした第2次ボーア戦争から帰還した戦傷病者の看護に当たった、カイザー家のアグネスとファニー姉妹が1899年に設立した。病院の名称は、同病院の最初の支援者となったエドワード7世の名前を冠している。キングエドワード7世病院は王室と120年以上の交流を持ち、故マーガレット王女（スノードン伯爵夫人）、故エリザベス2世とその母である故エリザベス皇太后、故エディンバラ公フィリップ王配、国王チャールズ3世、ウェールズ公妃キャサリンなど、数々の王族の治療に当たってきた。

　Rhysidaは、キングエドワード7世病院から入手したと主張する王室関係者のエックス線画像、カルテ、処方箋、問診票のコピーなどの画像をダークWebで公開し、約30万ポンド相当のビットコインによる支払いを要求した。データの販売という措置に踏み切ったのは、キングエドワード7世病院がRhysidaとの間で身代金支払いの交渉を拒否したためだと考えられる。

　Rhysidaが入手したと主張するデータが本当に王室に関するものなのかどうか、真偽は検証されていない。王室の個人情報は極めて厳格なセキュリティ管理対象であり、そのようなデータを管理する組織は多重的かつ多層的なセキュリティ対策をしなければならない。過去の事件と同様に、サイバー犯罪者の主張は真偽の疑わしいものと見るべきだ。

　キングエドワード7世病院は一時的な不正アクセスを受けた事実を認めた上で、「セキュリティインシデントの影響を軽減するための措置を速やかに講じ、ほぼ通常通りのサービスを提供し続けた」と説明する。同院は被害の全容を把握するためにITインフラ全体の調査を開始し、少量のデータがITインフラの一部からコピーされていたことを確認したという。コピーされたものは盗み出されても影響のない、病院のシステムに関するデータだった。しかし少数の患者情報が含まれていたため、該当する患者にインシデントについて通知した。ITインフラ全体の調査には、英国立サイバーセキュリティセンター（NCSC）と警察に支援を要請したという。

Rhysidaの攻撃手口を専門家はこう見る

　セキュリティベンダーSearchlight Cyberで脅威インテリジェンスのリードエンジニアを務めるロバート・フィッツサイモンズ氏はRhysidaについて、ランサムウェアを「サービス」として提供する「Ransomware as a Service」（RaaS）の一つだと指摘する。Rhysidaは2023年半ばから活動が確認されており、同組織のブログでは60人の被害事例が公開されているという。

　Rhysidaを分析したさまざまな情報によると、同組織はフィッシング攻撃やVPN（仮想プライベートネットワーク）ツールの脆弱（ぜいじゃく）性を悪用した手法などで標的システムに侵入しており、グループ内のメンバーが高度な技術を備えていることがうかがえる。ターゲットとする業界や地域は限定せずに標的のデータをできる限り暗号化するという見方もあれば、教育機関を標的にする傾向があるという見方もある。

　標的から盗み出したデータの暗号化には、オープンソースの暗号ライブラリ「LibTomCrypt」とストリーム暗号（ビットまたはバイト単位での暗号）「ChaCha20」を使用している。標的のネットワークに侵入した後は、ITベンダーFortraのペネトレーションテストフレームワーク「Cobalt Strike」、Microsoftの遠隔操作ツール「PsExec」とコマンドラインユーティリティー「ProcDump」、AnyDesk Softwareのリモートデスクトップツール「AnyDesk」などのソフトウェアを使ってペイロード（マルウェアの実行を可能にするプログラム）を配布している。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップ医療IT