最恐コンピューターウイルスが再び　一気に感染爆発、スピードも脅威

かつて世界規模で感染が広がった、そのコンピューターウイルスは、昨年 4 月に封じ込められたはずだった。　ところが半年ほど経つと、息を吹き返していた。　「最恐ウイルス」とも言われた「Emotet （エモテット）」だ。　メールを介して組織に感染が広がり、3 月に入ると急激に勢いを増した。　「感染爆発」とも言える状況が起きている。

「返信メール」が始まりだった

和歌山市にある和歌山県営水泳施設に、外部から問い合わせが相次いだのは 1 月 25 日のことだ。　「そちらから変なメールが送られてきた」という。　調べると、施設にネット経由で問い合わせをしたり、予約をキャンセルしたりした人に対し、施設側が送信した覚えのない不審なメールが届いていた。　メールの件名は「Re : 屋内・屋外プールについて」など、返信の形がとられ、「ご確認をお願いします」のように短い本文が書かれていた。　だが施設のメールアドレスから発信されたものではなく、何者かが施設の名前をかたっていた。

メールには表計算ソフト「エクセル」の添付ファイルがあり、開くとウイルスに感染してしまう。　パソコンでやりとりしたメールの中身やアドレスなど、個人情報を盗み取る仕掛けが施されていた。　施設のパソコン 1 台が、外部から届いたメールでウイルスに感染していたことがわかった。　そこで盗み取られた個人情報をもとに不審なメールが送られたとみられている。　県などによれば、最大で約 2 千件の氏名やメールアドレスが流出したとみられ、当事者に連絡を取った。　二次被害は確認されていないという。　県の担当者は取材に、「こんな小さな施設に攻撃が来るのかと、正直戸惑っています」と話した。

「カムバック」果たした

エモテットは 2019 年から 20 年にかけて、全世界で猛威を振るった。　欧州の捜査機関は昨年 1 月、共同の壊滅作戦で、オランダにあるサーバーやウクライナ国内のアジトを摘発した。　4 月 25 日には全てのウイルスが自動消滅し、封じ込めに成功したはずだった。　ところが昨年 11 月 15 日、エモテットを追跡してきた有志のグループが、新たな動きを確認した。　グループの一人は「エモテットがカムバックを果たした」と米ネットメディアに明かした。　その上で「今後数カ月のうちに、以前のような脅威に到達するかは不透明だ」と慎重な見方も示していた。　ところが、実際には想定以上の速さで感染が広がったことになる。

被害は、日本でも深刻化しつつある。　ライオン、紀伊国屋書店、日本医師会、北海道新聞社 …。　朝日新聞が確認しただけで、2月以降に120を超える組織が感染被害や注意の呼びかけを公表した。　民間、公共、組織の大小に関係なく、感染が拡大している。

「やばい」、誰もが言った

米プルーフポイント社は、メール経由のサイバー攻撃対策では世界最大手だ。　同社の日本の担当者は、会社が検知したエモテット関連の不審メールの件数を見て、衝撃を受けた。　3 月は 1 - 3 日で約 238 万件を数え、2 月の 1 カ月に検知した約 207 万件をすでに超えている。　同社は全世界でやりとりされる 4 分の 1 に相当するメールをチェックしているとされる。　観測データは、「感染爆発」とも言える状況が起きていることを示していた。

「今まで見たことがない、本当にやばい状況です。」　日本プルーフポイントの増田（そうた）幸美さんは言う。　記者が話を聞いたときも、被害に関する相談を受けた顧客先から戻ったところだった。　エモテットにひとたび感染すると、顧客のメールアドレスに向けて大量のウイルス入りメールをばらまくため、送り先から問い合わせが殺到する。　一方、送りつけられた側も、あちこちから不審メールの着信が止まらず、対応に追われる。　こうなると、担当者は半ばパニック状態に陥る。　「顧客からの第一声は『やばい、どうしたらいいかわからない』です。（増田さん）」

「本来の攻撃」は後からやってくる

エモテット感染の狙いは何なのか。　増田さんによれば、次のサイバー攻撃の橋渡し役となる、組織への侵入経路を作り出すのが目的という。　そうした情報を売りさばく「アクセスブローカー」と呼ばれる闇の組織による仕業というのが、セキュリティー関係者の一致した見方だ。　こうして把握した侵入経路を使い、別のハッカー集団が新たなサイバー攻撃を仕掛ける。　最近ではランサムウェア（身代金ウイルス）に感染させるケースが目立っている、という。　「つまり、エモテットの後に本来のサイバー攻撃がやってくる。　エモテットを見つけたら、次の攻撃に備えなければならない。」と増田さんは訴える。

エモテットを仕掛けているのは、ロシアや東欧系のサイバー犯罪集団というのが通説だ。　今回も同様の可能性がある。　2 月に入って感染が広がったことから、ロシアのウクライナへの侵攻との関連も一部で指摘されるが、実態はわかっていない。　インテリジェンス情報を専門に分析する日本の専門家は、エモテットの狙いを「ボットネット （遠隔操作型のウイルスの一種）の再構築にある」とみる。　その上で、軍事侵攻という国家の不安定化に乗じて、一気に感染を広げる狙いがあるのではと考える。

「エモテットを仕掛けるハッカーは、アクセスブローカーなので戦争に加担する意図はない。　ただしハッカーから侵入経路を手に入れた連中が、ウクライナへのサイバー攻撃をめざしている可能性はある。」

「感染爆発」なぜ起きた?

増田さんは、エモテットに関連した不審メールの特徴として、「こちらをご参照ください」、「ご確認をお願いします」といった短い一文が書かれていること、発信元が本来の組織のメールアドレスと異なる点を挙げる。　「現時点のエモテットは、この点を注意深くチェックすれば感染を防ぐことができる。　とにかく、メールをクリックし、反射的に添付ファイルを開かないことです。」　「感染爆発」とも言える状況はなぜ起きたのか。　増田さんが考えるのは、米マイクロソフトの対応による影響だ。　同社は 2 月上旬、エクセルやワードなど「オフィス」製品で、外部から取得したファイルに内蔵された「マクロ」と呼ばれる簡易プログラムを、初期状態では実行できなくすると発表した。

ウイルスの有力な侵入経路の一つに、マクロの存在がある。 メールに添付されたワードファイルを開き、マクロが実行されると、外部からウイルスが送り込まれる。　「ドロッパー」などと呼ばれる役割だ。 ドロッパーが封じられる前にエモテットの感染を広げ、組織の侵入経路を開拓しようというハッカーの狙いがあるのではないかと、増田さんはみている。

日本の省庁、「DMARC」導入は?

エモテットやフィッシング詐欺など、メールを悪用したネット犯罪が日本で広がる要因の一つとして、増田さんは海外よりも遅れているメールのセキュリティー対策を挙げる。　「DMARC」と呼ばれる、なりすましメール対策技術が有力な手段という。

プルーフポイントが昨年 12 月に調べたところ、欧米では上場企業の 7 - 8 割がすでに導入しているのに対し、日本は一部上場企業の 24% にとどまることが明らかになったという。　記者は日本の省庁のメールアドレスが DMARC に対応しているか調べた。　3 月 4 日現在では 1 府 12 省庁のうち、総務省と文部科学省、国土交通省、経済産業省、宮内庁が導入していた。　なお、内閣サイバーセキュリティセンター (NISC) は導入していなかった。 (編集委員・須藤龍也、藤野隆晃、asahi = 3-5-22)

情報配信サイトの中傷被害「なすすべなく」　勝訴の男性会見で

インターネットの情報配信サイト「netgeek （ネットギーク）」の複数の記事で名誉を傷つけられたとして、大学教授ら 5 人がサイト運営会社と運営する男性に計 1,650 万円の損害賠償を求めた訴訟の判決が 15 日、東京地裁であった。　武部知子裁判長は「社会的評価を低下させ、真実とも認められない」として原告の主張をおおむね認め、運営側に計 121 万円の支払いを命じた。　ネットギークは 2013 年に開設。　SNS上の投稿などを引用し、意見を加えて記事を配信している。 原告側によると、同サイトの月間アクセス数は一時、約 200 万件あったという。

「モンスタークレーマー」の表現も名誉毀損と認定、東京地裁の判決

判決によると、同サイトは 17 年、非正規社員としてテレビで紹介され困窮体験を語った原告の 40 代の男性について、番組で映った顔や男性の SNS を引用しながら「正社員になれないのは偏屈な人格に原因がある」と記載。　判決は「人格攻撃で侮辱にあたる」と認定した。　また、原告の一人で武蔵大学の千田有紀教授を「モンスタークレーマー」、同様にブロガーを「口八丁のインチキコンサルタント」などと書いた記事も名誉毀損にあたると判断した。　一方で判決は、ネットギークについて、ネットで原告が「炎上目的だ」と書いた記事で名誉を傷つけられたとする運営側の訴えも一部認め、原告側に計 33 万円の賠償を命じた。

会見した原告「今も思い出すと泣いてしまう」

判決後には、原告らの会見が東京都内であった。　正社員になれないのは「偏屈な人格」が原因とサイトで書かれた男性は、記事掲載後の被害を語った。　スーパーのレジ係として働いていたとき、面識のない客から罵詈雑言を浴びせられたり会社にクレームを入れられたりして、仕事を辞めることになったという。　男性は「サイトに反論したかったが、巨大な拡散力を持つ相手になすすべがなかった。　今でも当時を思い出すと泣いてしまうことがある。」と悔しさをにじませた。　裁判を起こした理由については「同じような被害をなくしたいため」と話した。

原告の千田教授は、同サイトについて「記事に反論してもおもしろおかしく書かれ、それがビジネスになっていた」と指摘。　「名誉毀損が認められたのは満足のいく結果だが、裁判の労力を考えると賠償額が低い」と訴えた。 (村上友里、asahi = 2-15-22)

◇　◇　◇

誹謗中傷が収益を生む?　SNS 企業に批判「ヘイトのそばに広告が …」

開示請求数は日本が最多 - -。　ツイッターで誹謗中傷などを書いた発信者のアカウント情報などの開示を一般の人たちが求める動きは世界的に急増しているが、実は、その数は日本が最も多い。　何が起きているのか。　米ツイッター社によると、民間からの開示請求は 2020 年で世界 14 カ国 880 件と、前年比で約 1.9 倍になった。　うち日本が 41% を占め、同約 2 倍の約 364 件と 2 年連続で世界最多だ。　18 年まではツイッターの利用者数で世界首位の米国が最多だったのが、19 年、同 2 位の日本が抜いた。

ツイッターで誹謗中傷を受けたプロレスラーの木村花さんが 20 年に亡くなったのも「大きく影響していると思う」と、「ネット炎上の研究」などの著作がある国際大学グローバル・コミュニケーション・センターの山口真一准教授は指摘する。　「当時はネット上の誹謗中傷に注目が集まり、総務省で発信者情報の開示請求に関する研究会も動き出していた。　事件を受けて、高市早苗総務相が誹謗中傷を強く非難する発言をしたりもした。」　請求方法は国や地域によって異なるため単純比較はできないが、日本はプロバイダ責任制限法（プロ責法）に基づく開示請求などが含まれる。　これにより 20 年に特定されたアカウント数は、世界全体で前年比 2 倍以上の 2,579 件、日本も同2倍近い 812 件に上っている。

誹謗中傷が問題になるのは、SNSだけではない。　ネット上にあふれる誹謗中傷。　企業側も対策強化に動きますが、表現の自由や「お金」との関係で限界も。　記事後半で、その構図を描き出します。

チェック強化、でも「いたちごっこ」

ヤフーのニュースサイト「ヤフーニュース」は 07 年、「読者がコメントを通じて新たな視点を得て、考えを深めてほしい」との狙いからコメント欄を開設した。　しかし近年、攻撃的だったり差別的だったりする不適切な投稿も増え、誹謗中傷も目立つ。

こうした事態に対応するため、米ツイッター社もヤフーも、人工知能 (AI) と人の目を組み合わせて不適切な投稿をチェックする仕組みに取り組んでいる。　ツイッター社は「日本語や日本固有の文脈、文化的・社会的背景に精通したチームをここ数年かなり増強し、投稿をチェックしている」と昨年 9 月に説明。　そのうえで同社のルールへの抵触を確認すれば、アカウントを凍結しているという。　昨年は、フォローしてほしくないアカウントをフォロワーから外せる機能や、英語版で先行して、有害または相手を傷つける恐れのある返信を打ち込もうとすると注意喚起が表示される機能も追加した。

ヤフーは 18 年、AI が「悪い」と判断したコメントを下位に下げて目立たないようにする仕組みも導入。　20 年には、不適切なコメントを何度も投稿する人に注意喚起をする仕組みも採り入れた。　繰り返せば投稿自体ができなくなるようにもなっている。　AI　と人の目の監視で、21 年 3 月には 1 カ月間で約 35 万件を削除した。　全体の 3% に相当する数で、削除理由の 65% を誹謗中傷などの「不快な投稿」が占めたという。　21 年 10 月には、誹謗中傷的な投稿が集まる記事について、コメント欄を自動で丸ごと非表示にする仕組みも導入した。　これまで約 200 本の記事でこうした対応がとられた。　ヤフーの広報担当者は「違反投稿を減らして健全化するための対策は続けていく」と話す。

ただ、こうした対応は「表現の自由」との関係で難しい面もある。　ネット上で利用者とサービスを結びつけるプラットフォーマー企業としては、表現の自由を重視する立場は譲れない。　このため、「被害」を受けたとする人たちの思いとは必ずしも一致せず、こうした事情がプロ責法に基づく開示請求が増える循環にもなっている。

「利益のためのヘイトやめよう」

結果として、誹謗中傷はなくならず、いたちごっこの状況が続いているのが実態だ。　一方で、こうした「過激」な投稿がプラットフォーム企業の収益につながる可能性もある、という構図もある。　SNS などを運営する企業は主に、広告の出稿料でもうけるビジネスモデル。　広告が多く表示されたりクリックされたりした場合に広告主に課金する仕組みが主流だ。　偽情報や誹謗中傷であっても注目を集めれば、広告を閲覧したりクリックしたりする可能性が高まる。

米国の人権団体などは 20 年夏、「Stop Hate For Profit （利益のためのヘイトをやめよう）」とフェイスブック (FB) の広告ボイコットを呼びかけた。　売上高の 98% を広告収入に依存する FB がヘイト投稿に十分な対策をとっておらず、「ヘイトに満ちたコンテンツのそばに広告がある」状態が利益につながっているとの主張だ。　これに、消費財の世界大手ユニリーバなど 1 千社以上が応じて一時、FB から広告を引き揚げた。

利用者の立場で見ても、ユーチューブで過激な言動を配信してアクセス数を稼げれば、もうけは増える。　偽情報に関するウェブサイトのリスク評価をする英 NGO 「グローバル・ディスインフォメーション・インデックス (GDI)」は、偽情報を拡散しようとする「悪意ある主体」にとって、SNS が好ましい土壌を生み、情報技術を駆使するネット企業の不透明な慣行がそれを助長していると指摘する。　SNSを運営する企業側は、誹謗中傷や偽情報があふれると、逆に収益にマイナスだと主張する。

ツイッター日本法人は「誹謗中傷は我々のビジネスに非常に重要な影響がある。　利用者が嫌な思いをしたことが報道されると、広告主の数は顕著に減る。　広告主も、不健全なプラットフォームにはあえて広告を出さない」と、昨年 9 月時点の取材に説明していた。　ツイッターの利用で世界 2 位の日本は、民間からの情報開示請求の件数では世界最多。　その背景は何か。　「被害」に遭った人たちはどんな思いをしているのか。藤えりか記者がポッドキャストで解説しています。　企業の誹謗中傷対策は、そうした広告引き揚げを防ぐために必要な「投資」という側面を持つ――という構図が強まりつつある。 (伊藤弘毅、土屋亮、藤えりか、asahi = 2-10-22)

「あなたの PC は感染している」マイクロソフト装ったサポート詐欺が急増 … 専門家に聞く 4 つの対処法

|修理代金として電子マネーを要求

感染拡大で在宅率が高まる中、パソコンのサポートを装った詐欺が急増している。

警視庁が公表しているサポート詐欺サイト : 「マイクロソフトセキュリティアラーム。　あなたの PC は『ダイニーバンクトロイアン』に感染しています。　フリーダイヤルで当社に今すぐお電話ください。」

そして指示された通りに電話をすると ･･･、

男性の声 : 「お電話ありがとうございます。　こちらは PC サポート ...。　ご用件何でしょうか?」

マイクロソフトを装い、サポートするふりをしてお金などをだまし取るサポート詐欺。　今、こうした被害が増えているという。

被害男性（80 代） : ワーニングみたいなポップがずっと出てきてしまって、連絡してくださいみたいな表示が出たので電話してしまった。 それが大間違いでした。

80 代の男性は自宅で突然、パソコンが動かなくなった不安から、画面に表示された偽のサポートセンターに慌てて電話をした。　するとパソコン画面に現れたのは、マイクロソフトのロゴに「マイク」を名乗る外国人風の人物。　しかし、この身分証は偽物だった。　片言の日本語をしゃべるマイクと名乗る人物は、修理代金などとして繰り返し電子マネーを購入するよう指示。　男性がコンビニで購入した電子マネーは、あわせて 20 万円分にのぼった。

被害男性（80 代） : 電話して最初、正式な女性の声が出てきて、マイクロソフトだと。　マイクロソフトであれば、そういうことをやってくれると思ってしまった。

こうしたサポート詐欺被害はコロナで在宅率が高まる中で急増しているといい、確認された不正なサイトは、2021 年 7 月から 9 月の間で 1,000 万件以上。　2020 年の初めごろに比べ、3 倍以上となっている。

サポート詐欺の回避・対処法

三田友梨佳キャスター : IoT NEWS代表の小泉耕二さんに聞きます。　「パソコンのサポートを名乗る詐欺はかなり手の込んだワナを仕掛けてくるようですね。

IoT NEWS 代表・小泉耕二さん : パソコンだけではなく、スマホでも同様の詐欺が行われています。　それにはいくつかのパターンかあります。

1. ポップアップさせた画面に電話番号を表示し、サポート業者と名乗る者に電話をかけさせて対応のための遠隔操作を許可させる。
2. 対策アプリと称してアプリをインストールさせる。
3. 対策と称して有償のアプリをインストールさせる。
4. 対策後にサポート契約を持ちかける。

などの手口があります。

何かのアプリをインストールすると、それ自体にお金を支払わせられたり、作業費をとられたり、ひどいものではウイルスを混入させられ、個人のクレジットカード情報などを抜き取ろうとするなど、悪質さは様々です。

三田キャスター : 広告を利用した詐欺を防ぐ方法はあるのでしょうか?

小泉耕二さん : 一般的に広告を Web サイトに配信するサービスでは、広告主の審査も行われていて問題は起きづらいですが、偶然アクセスしたサイト上に悪意のあるワナが潜んでいるケースもあります。　この手口は、サイト閲覧時に出てくる広告と同じような仕組みなので、ウイルス対策ソフトでは防ぐことが難しいです。

三田キャスター : もし、このような詐欺にあってしまった場合はどのように対処すればよいのでしょうか?

小泉耕二さん : 現実的な対処法としては、画面に疑わしい表示が出たら慌てずにまずはブラウザごと閉じることが重要です。　何らかのアプリをインストールさせられてしまった場合は、アプリをインストールする前の状態に OS をリカバリーすることをお勧めします。 具体的には OS に備わっている機能やリカバリーソフトを利用して初期化することになります。　そのためには、パソコンを買ったらリカバリーのために定期的なバックアップの設定をしておくことが事前策として必要です。　Chrome　や　Edge、Safari　といったブラウザでは、広告やポップアップをブロックする設定もあるので、これを活用してもいいのかもしれません。

三田キャスター : パソコンやスマホは生活には欠かせないもので、利用頻度も高まっていますが、だからこそリスクに対するリテラシーの向上が大切なのかもしれませんね。

小泉耕二さん : テレビやラジオ、一般のニュースサイト等で新しい手口への警鐘を鳴らして、リテラシーの向上を図るということも重要だと思います。

怪しいサイトにはアクセスしない、詳細が不明な添付ファイルを開かないなどは基本ですが、それを見越した上でさらに巧妙な手口でワナを仕掛けてくることを心に留めておいて欲しいです。

三田キャスター : みなさんもパソコンやスマホでインターネットを見ているときに不審な警告が表示されたら、まずは落ち着いて画面の指示には安易に従わないでください。　 電話をしたりソフトをダウンロードしたりもせずに、強制終了するなど正しい対処法で被害を未然に防ぎたいと思います。

(FNN = 12-7-21)

◇　◇　◇

動画みていたらパソコンが突然ピー、ピー　「遠隔操作」信用したら …

インターネット端末に警告を表示し、偽の電話相談窓口でサポートをするふりをしてお金をだまし取る「サポート詐欺」と呼ばれる手口の被害が多発している。　茨城県内では今年、200 件近くの相談が寄せられた。　警察はコロナ禍でネットの利用時間が長くなっていることが背景にあるとみており、慌てて電話しないよう呼びかけている。

「セキュリティシステムが破損しています。」　「ウイルスに感染しています。」

県警によると、こうした文言の警告をパソコンやスマートフォンに表示させるのが、サポート詐欺の典型的な手口だ。　パソコンの利用者には、偽の相談窓口に電話をかけさせ、「サポート料金」などとして電子マネーで支払いを求めることが多い。　スマホの利用者には、自動的に継続課金されるアプリをインストールさせる手口が目立つという。　国民生活センターによると、全国で被害の相談が急増したのは 2016 年度で、前年に比べて 5 倍以上に増えた。　今年 1 - 10 月の被害相談を県警が集計したところ 184 件で、昨年 1 年間の 119 件を既に上回っている。

犯人を突き止める捜査の壁は高い。　捜査関係者によると、詐欺に使われた電話番号や IP アドレスを調べても、すでにもとの名義人から何者かに権利が転売されているケースが目立つという。　「受け子」のように被害者のもとを訪れることがなく、犯人グループを割り出すきっかけをつかむのも難しいという。　県警サイバー犯罪対策課の担当者は、コロナ禍でテレワークやネット通販の利用が増えた昨年以降、ネット関連の詐欺事件が増えていると言う。　「不審な警告画面が出ても、慌てて電話せず、まずは警察に相談してほしい」と呼び掛けている。

「詐欺だと気付かなかった」、巧妙な手口

ピー、ピー、ピー。　パソコンから突然、けたたましい音が鳴った。　画面には、電話番号と「至急連絡するように」というメッセージが表示されていた。　10 月 10 日午後 11 時ごろ、茨城県常陸大宮市の男性 (57) は自宅のパソコンで、「ユーチューブ」の動画を見ていただけだった。　スマートフォンで「050」から始まる番号に電話すると、「マイクロソフトの社員」と名乗る片言の日本語を話す男につながった。

「あなたのパソコンは（コンピューターウイルスの）『トロイの木馬』に侵入されました。　至急、遠隔操作で対処しますが、9 万円かかります。」

その後、コンビニで前払い式の電子マネーを買う方法が記されたマニュアルが、自宅のプリンターに突然印刷された。　「本当に遠隔で直してくれそうだ。」　すっかり信用して、自宅から車で 15 分ほどの距離にあるコンビニに急いで向かい、約 9 万円分の電子マネーを購入した。　家に帰ると、コンビニで渡された「プリペイド番号通知票」に記されている固有番号をパソコンで入力するよう電話で指示された。　固有番号がわかれば電子決済が可能になる。

番号を入力したが「間違っている。　再度購入するように。」と言われ、再びコンビニに向かうことに。　このやりとりが 2 回繰り返され、結局計 27 万円分の電子マネーを購入した。　3 回目の入力を終えた後、おかしいと気付き「ノーマネー、ノーマネー」と電話で伝えた。　すると画面上に「返金証明書」が表示され、ウイルス対処費用の 9 万円を除いた分の電子マネーは現金書留で返金すると電話で伝えられた。

だが男性が払ったお金は戻ってきていない。　男性は 10 月 20 日、最寄りの警察署に相談した。　今後、被害届を出す予定という。　「最初は詐欺だとは気付かなかった。　巧妙な手口で、さらに多額の金を取られていたらと思うと怖い。」　男性はこう語る。 マイクロソフト社は公式ウェブサイトなどで、「マイクロソフトの警告メッセージに電話番号が記載されることはない。　絶対に電話しないように。」と注意を呼び掛けている。 (西崎啓太朗、asahi = 11-24-21)

消えた電子カルテ、お産もできない … 田舎の病院を襲ったサイバー攻撃

四国を横切る吉野川が流れ、手延べそうめんの里として知られる徳島県西部のつるぎ町。　約 8 千人が暮らす町の医療を支える町立半田病院がいま、未曽有の脅威にさらされている。　11 月中旬。病院を訪ねると、閉じられた受付と会計窓口が目に入った。　待合室には長テーブルが置かれ、「内科」、「産婦人科」、「小児科」などの臨時窓口が設けられていた。

いすに腰掛ける高齢の女性に、職員が話しかけた。　「おばあちゃん、お名前や住所をこの紙に書いてもらっていい?」　長く半田病院に通うという女性の個人情報を、職員が一つひとつ確認していた。　紙のカルテを作り直しているという。　女性は記者に言った。　「ウイルスにやられたんだって。　もう何が何だか。」　「ウイルス」と言っても新型コロナではない。　コンピューターウイルスだ。　10 月 31 日午前 0 時半ごろ、病院内のパソコンやサーバーに仕掛けられたウイルスが発動した。　ウイルスの指令で病院内にある 10 数台のプリンターは一斉に、英文の「犯行声明」を大量に吐き出した。

「あなた方のデータは盗まれ、そして暗号化された。」　「（盗まれた）データは公開されるだろう。」

自らを「LockBit （ロックビット）」と名乗る、国際的サイバー犯罪集団の仕業だった。　暗号化されたデータの復元と引き換えに金銭を要求する「ランサムウェア（身代金ウイルス）」攻撃を仕掛ける。　いま、世界の企業や組織が規模の大小を問わず被害を受けている。　半田病院では電子カルテや会計などすべてのシステムがダウン。　過去分も含めて 8 万 5 千人分の患者データが失われ、バックアップも被害を受けていた。　一夜が明け、病院事業管理者の須藤泰史医師はサイバーテロ対策本部を立ち上げ、非常事態を宣言した。　そこで「最低限の診療を行う」方針が決まった。

救急や新規の患者の受け入れを中止し、予約患者のみ診察する。　退院できる患者には退院してもらい、手術も可能な限り延期する。　県西部で唯一受け入れていたお産も断るしかない。　電子カルテが復活するまで、手書きでしのごう - -。　地域医療を支える基幹病院は、事実上機能を停止した。　目の前に広がる光景に、須藤医師は実感した。

「これは災害だ。」

☆

サイバー攻撃で大混乱に陥った病院は、復旧に向けて職員総出でぎりぎりの状況を乗り切っている。　その現場を取材した。（編集委員・須藤龍也、斉藤智子）

記事の後半では、通常診療の再開に向けて苦闘する病院職員たちの様子を描きます。　また、病院が狙われるという深刻な事態について、セキュリティー専門家に聞きました。

ランサムウェア（身代金ウイルス）によるサイバー攻撃をきっかけにすべてのシステムがダウンした町立半田病院（徳島県つるぎ町）では、通常診療の再開に向けた職員たちの苦闘が続いている。　病院の対策本部は、予約の再診患者だけを対象に「最低限の医療」を提供すると決めた。　だが、すべての電子カルテが失われたことで、患者の情報を一から把握し直すという困難な作業が立ちはだかった。　地域の基幹病院で、顔なじみの患者も多い。　それでも職員らが一人ひとりに声をかけ、個人情報や診察内容について聞き取った。

近隣の調剤薬局からは薬の処方歴を、紹介先の病院からは過去に送ったカルテを取り寄せた。　紙のカルテに書き写したり、貼り付けたりした。　「患者さんに『いつから通院していましたっけ』と聞かなくてはならない。　申し訳なく、情けない。」　病院事業管理者の須藤泰史医師は取材に語った。　病院の経営も直撃している。　会計システムが止まったため、診察費用を請求できずにいる。　入院患者も減らしており、普段は 7 割近くが埋まる 120 床のベッドが 11 月下旬には 4 割に落ち込んだ。　「給与やボーナスは大丈夫?」　職員から不安の声が上がる。

被害から約 3 週間を経て、まずは小児科と産科の通常診療を再開した。　システムが復旧する見通しは立っていないが、地域の要望が多い診療科だけに、それ以上休むことはできなかった。　病院は 26 日に記者会見を開き、電子カルテシステムを作り直して再出発すると表明した。　来年 1 月の通常診療再開をめざす。　地域の医療体制に大きな穴が開いており、選択の余地はなかった。　「収入がない状態が続いており、このままでは診療がままならなくなる。」　会見でこう語った須藤医師。　取材に憤りを込めて語った。

「本当になぜ、こんな小さな田舎の病院を狙ったんだ!」

病院は狙われているのか

病院のシステムダウンにつながった今回のサイバー攻撃は、人命にも関わりかねない深刻な事態だ。　過去には奈良県宇陀（うだ）市立病院で 2018 年 10 月、ランサムウェア攻撃によって電子カルテのシステムが 2 日間使えなくなったことがあった。　厚生労働省が作成したガイドラインに基づき、ネットワークは病院内で閉じられたはずだった。だが、再発防止に向けた有識者会議の会長を務めた立命館大の上原哲太郎教授は「何らかの理由で一時的に外部のインターネットと接続されていたようだ」と話す。　このことが感染につながった可能性があるという。

病院では各診療科が独自に機器を調達し、誰もシステム全体を把握しておらず感染の原因はわからなかった。　「院内に情報管理の責任者がおらず、セキュリティー対策も業者にお任せの状態だった。」　半田病院のコンピューターがなぜ感染したのかも不明だ。　ただ、院内のネットに外部からアクセスできる「VPN （仮想プライベートネットワーク）」と呼ばれる通信機器が複数、接続されていた。　電子カルテシステムを遠隔操作で業者がメンテナンスしたり、県内の医療機関と患者の情報を交換したりするためだ。　この機器をめぐっては、今年 9 月に外部から不正侵入できるとする機密情報がネット上にさらされた。

上原教授は指摘する。　「外部と隔離している病院のネットワークは大丈夫という、そんな前提があるように感じた。　これでは侵入された時の『次の事故』に備えられず、被害を大きくするだけだ。」　セキュリティー専門家の三国貴正さんは 6 月以降、中小の病院から 4 件の被害相談を受けた。　いずれも内部情報が盗まれ、外部に流出した痕跡が見つかった。

三国さんは医療機関を狙った攻撃が増えているという実感があるという。　その根拠として、サイバー犯罪者が盗み出す内部情報を検索するキーワードリストを示した。　「カルテ」、「外来」、「問診」 - -。　そんな単語がウイルスに埋め込まれていたという。　三国さんが最も懸念するのは、攻撃が医療機器のハッキングにエスカレートすることだ。　「病院のネットワークに侵入できることがわかってしまった。　人の命に関わる医療機器が攻撃にさらされないか心配しています。」 (編集委員・須藤龍也、斉藤智子)

ランサムウェア被害、半年で 670 億円

ランサムウェア攻撃の被害は尋常でない勢いで増え、日本を含む各国の政府機関や警察当局が繰り返し注意を呼びかけている。　米財務省は 10 月、報告を寄せた組織の被害額が、今年上半期だけで 5 億 9 千万ドル（発表当時のレートで約 670 億円）に上ると公表した。　これは過去 10 年の被害総額を上回るペースだ。　日本の警察庁のまとめでは、警察に報告があった被害件数は今年上半期で 61 件。　昨年下半期の 3 倍に増えた。　調査や復旧に 1 千万円以上かかったケースも複数あったという。

被害が増えた原因として挙げられるのがコロナ禍のテレワークだ。　自宅から会社や組織のネットワークに接続するために大量の VPN 装置が設置された。　そうした機器に残された未修正の欠陥がハッカーに狙われたとみられている。　身代金のやり取りの実態は見えづらいが、米セキュリティー大手クラウドストライクは昨年 11 月、調査に回答した日本の被害組織のうち 3 割が身代金を支払うことを選んだと発表した。　金額は平均約 1 億 2 千万円だったというが、突出した金額があった可能性も考えられる。 (asahi = 11-27-21)

◇　◇　◇

ランサムウェア「VPN 標的」　警察庁が初調査、在宅勤務に狙いか

パソコンやサーバーのデータを暗号化し、復元の引き換えに身代金を要求する「ランサムウェア」攻撃を受けたとして、国内の企業・法人から警察への被害相談が今年上半期（1 - 6 月）に 61 件あったことが、警察庁のまとめでわかった。　感染の経路が判明したうち半数以上は、社外から社内ネットワークに接続する VPN 機器などから侵入していた。　VPN はコロナ禍の中で在宅勤務に不可欠。　犯行グループがこうした状況を突いたとみられる。

警察庁がランサムウェア被害の実態を調査したのは今回が初めて。　従来は不特定多数を狙って電子メールを送りつけるといった手口が一般的だったが、同庁は「特定の企業や団体を標的とする手口に変化し、企業のネットワークなどのインフラを狙うようになった」とみている。

製造業の被害最多、目立つ「二重恐喝」

被害が表面化していない例もあるとみられるが、昨年はゲーム大手カプコンなどへの攻撃が明らかになり、今年に入って警察への相談が増えた。　警察庁がデータを取り始めた昨年 4 - 12 月は 23 件だったが、今年は半年で 3 倍近くになった。　61 件のうち中小企業は 40 件 (66%)、大企業は 17 件 (28%) で、学校法人も被害を受けた。　業種別では製造業の 27 件 (44%) が最多で、建設業 8 件 (13%)、サービス業 8 件 (13%)、卸売り・小売業 7 件 (11%) などだった。

感染経路がわかったのは 31 件。　このうち VPN 機器からの侵入は 17 件 (55%) で、職場にあるパソコンを遠隔で操作するリモートデスクトップからの侵入が 7 件 (23%) だった。　メールや添付ファイルからの侵入も 4 件 (13%) あった。　暗号化するだけでなく、金銭の支払いをしないとデータを公開すると脅す「二重恐喝（二重脅迫）」も目立つ。　手口が判明した 35 件のうち、二重恐喝は 27 件 (77%) に上った。　金銭の支払いを具体的に求める文言があったのは 29 件あり、その 9 割はビットコインなど暗号資産（仮想通貨）での支払いを要求していた。　犯行グループ側は、匿名性の高さから暗号資産を選んでいると警察庁はみている。

調査・復旧費用、4 割近く「1 千万円以上」

被害を受けた企業・法人にはどのような影響があったのか。　復旧までの期間が判明した 44 件のうち、1 週間以内が 19 件 (43%) と最も多かったが、2 カ月以上かかったのも 2 件 (5%) あった。　調査・復旧にかかった費用でみると、判明した 39 件のうち 1 千万円以上が 15 件 (38%) あった。　被害に遭うと、多くの時間や費用がかかる実態がうかがえる。　一方、警察が把握していないケースも一定数あるとみられる。　セキュリティー大手トレンドマイクロによると、今年 1 - 6 月だけで国内の端末 1 万台超からランサムウェアを検出。　昨年は被害の報告が 93 件、今年 1 - 6 月は 44 件あったという。

海外ではランサムウェアによる深刻な被害が相次ぐ。　今年 5 月、米石油パイプラインの最大手コロニアル・パイプラインのシステムが感染し、同社が管理するパイプラインが操業停止に追い込まれた。　国際的な食肉加工大手が攻撃を受け、システムの一部を停止したことも明らかになっている。　日本の企業でも、海外拠点が狙われて被害を受けたケースがあるとみられる。 (田内康介、asahi = 9-9-21)