私たちは皆、2017年5月12日に何が起きたかを知っています。それは、新しいバージョンのWannaCryランサムウェアが世界中に広まった日です。数日のうちに、このマルウェアは150か国の20万台のコンピューターに保存されていたデータを暗号化しました。
WannaCryの被害に遭った組織の1つは、イギリスのNational Health Service(NHS:国民保健サービス)でした。英国会計検査院(NAO)が発表したレポートによると、この攻撃でNHSトラスト(NHSの運営機関)の34%がサービスの停止に追い込まれました。さらに、603におよぶプライマリーケア施設と、他のNHS関連組織も感染を報告しました。
NAOの院長であるAmyas Morse氏は、攻撃がここまで拡大する前に食い止めるべきであったと述べています。 2017年10月のプレスリリースには、次のように記載されています。
WannaCryのサイバー攻撃は、NHSと、その患者にケアを提供する能力に深刻な影響を与える可能性がありました。WannaCryは、比較的単純な攻撃であるため、NHSが基本的なITセキュリティのベストプラクティスに従っていれば、回避することができたはずです。世の中には、WannaCryより高度なサイバー脅威が数多く存在しています。そのため、NAOとNHSは、NHSが将来の攻撃から保護されるように、共に対策を講じる必要があります。
NHSトラストがサイバー犯罪者の手によってサービス停止に追い込まれたのは、2017年の5月だけではありませんでした。Intercity Technology社がNHSトラスト80組織に送った情報公開請求(FOI request)によると、2015年1月から2018年2月の間に、それらの組織のうちの約3分の1がITシステム停止に陥っています。そのうちの14の組織に発生した停電は、セキュリティの侵害によるものでした。過去3年の間にNHSの組織は、18件ものセキュリティ侵害の被害に遭っていました。サイバーセキュリティ専門のポータルサイトThe Registerは、これらの攻撃により、のべ18日間のサービス停止が発生したと報告しています。
これらの発見から、「なぜサイバー犯罪者らはNHSを標的に選んだのか?」という疑問が生じます。
理由の一端は、おそらくNHS自体にあるのではないでしょうか。NAOは、NHSがローカルレベルで、WannaCryのような、重大なデジタル攻撃のシミュレーションを実施していなかったことを発見しました。そのため、実際にランサムウェアによる攻撃が発生したとき、通信上の問題が発生し、復旧作業も難航しました。またNAOは、WannaCryの被害を受けたNHSのすべての組織が、Windows OSを更新したり、ファイアウォールを適切に設定したりすることにより、自己防衛することができることが分かりました。
NHSが狙われた別の理由は、医療分野全体に影響する大きな問題に関係するものです。一般的に、医療機関は、既知の脆弱性に対するパッチ適用が最も進んでいない分野です。『SecurityScorecard 2018 Healthcare Report: A Pulse on The Healthcare Industry’s Cybersecurity Risks』のレポートは、医療分野における最も一般的なセキュリティ上の問題の60%が、パッチ適用の不備が原因で発生したことを明らかにしています。この業界全体に広がるこの欠点に攻撃者は狙いをつけたのです。攻撃者らは、すでに医療関連データの価値を熟知しており、それ以上の動機は不要でした。IFSEC Globalは、攻撃者らが盗んだ医療関連データをダーク・ウェブ上で売り飛ばしたり、被害者のプロファイルを作成して、その後の攻撃に悪用したりする可能性を指摘しています。
イギリス政府は、このようなタイプの脅威が存続している事実と、WannaCryにより露呈した欠点を認め、NHSのデジタルセキュリティを底上げする新しい政策を発表しました。この取り組みでは、ファイアウォールとネットワークインフラストラクチャーのアップグレードに2,100万ポンドが費やされるのに加え、ケアクオリティ委員会がNHSトラストのデジタルセキュリティの備えを評価するための資金提供、およびトラスト間のコミュニケーションを改善すべく新しいテキストメッセージング・アラートシステムを採用するための資金提供が予定されています。
他にも、なすべきことはあります。IoT(モノのインターネット)の台頭により、NHSは、WannaCryとは無関係のデータ侵害に対する危機感を強めています。2017年5月以降に4件以上のインシデントが発生している、WannaCry以外のランサムウェア攻撃も懸念されます。
Tripwireができること
NHSをはじめ、すべての医療機関は、重要な医療サービスの可用性を確保し、患者のデータを保護するために、システムのデジタルセキュリティを強化する措置を講ずる必要があります。このような措置は、2017年5月にWannaCryが悪用した、Microsoft SMBに内在していたEternalBlueのような脆弱性には特に重要です。CVSSの脆弱性評価は良いシステムです。しかし、これらのようなケースでは、低-中-高の評価は役に立ちません。なぜなら、「平常通り」の状態を維持することを任務とする重要なシステム/資産と、特段重要ではないシステムが同一のカテゴリーに混在する場合では、脆弱性レベルは一様に「高」となるからです。
このような場面で、Tripwire IP360が役に立ちます。Tripwireのソリューションは、CVSSの脆弱性評価を提供するだけでなく、さまざまな基準とともに、ビジネスの重要度に基づいて資産の重み付けを行うユニークな方法も採用しています。これにより、限られたリソースで、重要なシステムへのパッチの適用を迅速に行うことを可能にし、安全な「平常通り」の状態を実現しています。
一方、Tripwire Enterpriseを使用すると、ネットワーク内でコンプライアンスやポリシー違反がないか、あるいは変更が発生していないかを監視できるとともに、何らかの危険を察知した場合には、迅速に対応できるように、リアルタイムでスタッフに通知できます。
