データ復旧を請け負った事業者が身代金を支払った？！

徳島県のつるぎ町立半田病院がランサムウェア攻撃を受けた際、犯罪者集団が「病院側から身代金を受け取った」と主張していることが一部メディアで報じられました。
もし主張が事実であるならば、データ復旧を担当した事業者の関係者が犯罪者集団と交渉した可能性があるとのことです。

以下、日経クロステック からの引用です。

　徳島県のつるぎ町立半田病院にランサムウエア（身代金要求型ウイルス）攻撃を仕掛けた犯罪者集団が、「病院側から身代金を受け取った」と主張していると一部メディアが2022年10月に報じた。犯罪者集団の主張が事実なら、データ復旧を請け負った事業者の関係者などが犯罪者集団側と交渉した可能性がある。

　仮に事業者の関係者が身代金の支払いを代行していた場合、その事業者も犯罪に加担したと見なされると専門家は指摘する。間接的とはいえ犯罪者集団に身代金を渡す格好となるため、ランサムウエアの被害に遭った組織も批判を受ける恐れがある。データを復旧するために事業者に支援を求める際に、意図せぬ形で身代金を支払うリスクに注意が必要だ。

　病院側から身代金を受け取ったと主張している犯罪者集団は「LockBit（ロックビット）」である。半田病院にランサムウエア攻撃を2021年10月に仕掛け、電子カルテのシステムやバックアップ用データを暗号化して病院に身代金を要求していた。ロックビットは病院側の関係者との交渉を経て、3万ドル（約450万円）を受け取ったと主張している。

　被害判明当時、つるぎ町の兼西茂町長は身代金の支払いを拒否すると表明していた。半田病院は東京の事業者にデータの復旧作業を依頼し、「調査復旧費の名目で約7000万円を支払った」（半田病院）。その後半田病院は、この事業者が独自技術で復旧したとするデータを使うなどして、2022年1月4日に新たな電子カルテシステムを稼働。新規患者の診療などを再開した。

　このデータ復旧に対しては「関係者がロックビットと交渉し、暗号を解除するカギを入手したのではないか」という見方が、今回のロックビット側の主張が明らかになる前から存在した。ロックビットのランサムウエアが扱う暗号化技術が高度なため、暗号化されたデータを復号するには解除用のカギを入手しなければ難しいとサイバーセキュリティーの有識者の多くが考えていたためだ。

　半田病院が2022年6月に公開した、ランサムウエア被害に関する有識者会議による調査報告書も、こうした見方を示唆していた。病院が身代金を支払った可能性を否定する一方で、データ復旧を依頼した事業者について「何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性がある」と記述していたからだ。今回のロックビットの主張は、こうした見方を補強するといえる。

引用元：徳島・半田病院で物議、ランサムウエア「身代金」の意図せぬ支払いにご用心

 
身代金を支払うかどうかは見解が分かれるところですが、支払ってもデータが復旧されない場合も多いようですし、犯罪者の懐にお金が入ってしまうのはよろしくありません。
身代金を払わなくてもデータを復旧できるように普段からバックアップを取っておくことが大切です。
遠隔地に世代バックアップを取り備えておきましょう。