危機的な状況

警察はサーバーに残された脅迫文を頼りに犯人へ連絡を取り、「被害を受けているのは狙った大学ではなく病院である」こと、そして「患者が危機的な状況にある」ということを伝えた。犯人はそこから、システムを復旧するために暗号化されたファイルを復号する「鍵」を提供したものの、残念ながら重症患者にとっては手遅れとなり、病院到着後に亡くなられることとなってしまった。

この病院では通常一日当たり70〜120件の手術を行っているが、この日は10件程度の対応となったことも前述のメディア(*1)では報じられている。

また、残念なことにこのようなランサムウェアを用いた医療機関での被害は、今回が初めてのことではない。

2017年5月に世界150カ国以上で1万以上の組織に甚大な影響を及ぼしたWannaCryランサムウェアによる攻撃。この時は英国の国民保険サービス(NHS)で数千台もの機器が被害に遭い、1万9000人を超える患者の予約をキャンセルするなどの混乱が生じたことが、英国会計検査院(NAO)の報告書(*4)に記されている。

そして本稿執筆時点においては、米国で250の病院や診療所を運営する医療グループでランサムウェア、もしくはそれに類するものと考えられるマルウェアを用いたサイバー攻撃が発生し、250の施設すべてが影響を受け、復旧に向けての取り組みが続いている。

(同グループによる最新状況の更新はこちら(*5)をご参照ください。)

単に IT だけの話ではない

これまでサイバー攻撃による被害はサイバー空間の中だけでのことか、現実世界に実影響があるとしても情報漏えいくらいだろうと思われている方は案外多い。

しかし、今回は残念ながら人の生死にまで被害が及ぶこととなった。

サイバー攻撃というと IT部門固有の課題、しょせんはパソコンの問題じゃないかと高を括っている方も残念ながら少なからずおられ、企業や組織また外部ベンダーなどの立場でサイバーセキュリティーを推進している方々が苦慮されている一因でもある。

しかし、サイバー攻撃が「死」をもたらすのは、今回のように「人」に限ったことではない。

重々ご承知のことと思うが、企業にとっても死活問題であり、業務のIT依存度がますます高まっていく中でサイバー攻撃被害に伴う財務リスクが日々高まり続けている。

実際、ドイツの病院で狙われた脆弱性を突いたサイバー攻撃によりソフトウエア会社やゲームメーカーなど世界中の企業でも被害が発生。サイバー攻撃とは単にITだけの話としてIT機器やソフトウエアなどの毀損(きそん)といったレベルの話ではなく、同時並行的に財務損害へのインパクトが生じているのだ。

また、サイバー攻撃に伴う事業停止による機会損失やレピュテーション低下、顧客や取引先だけでなく株主への対応など多くの対応。そして、6月に改正された個人情報保護法や、グローバルで事業展開されているようであればGDPR(EU一般データ保護規則)などのような海外法規制への対応と、有事の際の制裁といったことも考えられる。

もはや、サイバーリスクとは経営リスクの最上段にある中の一つであることは、ご認識の通りである。