無くならないサイバー攻撃、レトロなセキュリティでは利便性だけが損ねる(22/11/2)

大阪市住吉区の病院がランサムウェアによるサイバー攻撃を受け、通常診療ができない状況となっているニュースを目にした際、暗号資産業界で起きた忌まわしい出来事を思い出した。2018年のコインチェック、Zaifのハッキング事件である。

今回の大阪市の病院では電子カルテシステムがダウンし、「全てのファイルは暗号化されました。もし復元したければメールを送ってください。メールのタイトルにはこのIDを書いてください。復元のためにはビットコインで支払ってください。金額はあなたがどれだけ早くメールを送るかで変わります。支払い後にツールを送ります」といったメッセージが英語で表記されたとのことだ。

ランサムウェアとマルウェア

ランサムウェアとは、警察のHPでは「PCの端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを複合する対価として金銭を要求する不正プログラム」とある。今回の大阪の病院でもそうだが、ランサムウェアで身代金として暗号資産が用いられるのはもはや鉄板である。

ランサムウェアにおいて身代金は支払ってはいけないという話を、先日警察関係者から聞いた。身代金を支払ったが最後、横のつながりでその情報は一気に広がり、その後も様々なランサムウェアの標的となり根こそぎ持っていかれるとのことだ。すぐに警察等然るべき機関に被害届を出すというのが正しいフローである。闇金に手を出す人のリストが関係者間で回っているとのと同じである。身代金を支払うということは、自分がカモであると言っているのと同義だ。

コインチェックやZaifのハッキング事件の原因はマルウェアなので、今回のランサムウェアとは本質的に異なる。マルウェアは「不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアやコードの総称」である。コインチェック、Zaifはともに、悪意の第三者からマルウェアを数か月前から仕込まれ、それぞれ当時580億円相当、70億円相当の暗号資産をハッキングされた。聞いた話では、数か月前からそれぞれの関係者と連絡を取り合い信頼関係が構築できた状況下、マルウェアを仕込み一気に暗号資産を奪い去ったとのことだ。

利便性と引き換えのセキュリティは解決につながらない

警察関係者は「暗号資産の管理は、完全にネットの世界と遮断したPCで管理を行うコールドウォレットが最善の防衛策である」とコメントしていたが、ネットの世界と断絶することは暗号資産そのものが有する「早い送金、安い送金手数料（これは今や死語かもしれない）」とはかけ離れたサービスとなる。つまりレトロなセキュリティ強化は利用者へのサービス低下を意味する。ネット環境下のなか、最大限のセキュリティを担保することが暗号資産だけではなく全てのネットサービスに求められるものだと思うが、現実は難しい。怪しいメールと思ったらクリックしないのは当然だが、怪しさを感じさせないのが今のサイバー攻撃の入り口である。

「コールドウォレットは被害の最小化には役立つが、利便性を損なうマイナス面が大きく、根本的な解決にはなっていない」という私の意見に警察関係者の方はうなずくしかなかった。その表情には「わかっていますよ、そんなこと。サイバー攻撃を根絶することがどれだけ難しいか、わかってくれよ」という思いが綴られていた。暗号資産業界だけではなく、全てのネットサービスからこのようなサイバー攻撃が無くなることを祈るばかりだ。