これを読んでいる今も、病院など医療機関がサイバー攻撃の対象となっています。その多くはEメール等から侵入して利用者のコンピューターに感染し、利用者のシステムへのアクセスを制限します。そして、制限を解除するために身代金支払いを請求する、いわゆる「ランサムウェア」です。ランサムウェアの攻撃対象は当初一般ユーザーでしたが、近年、米国の公的医療機関のPHI、すなわち個人健康情報に集中しているというのです。
米国のFBI、HHS(保健福祉省)、CISA(国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁)は、2020年10月に異例の三省庁合同での警告を発しました。HHSでは、過去24カ月に渡るランサムウェアからの被害(500人以上が被害にあった事案)を公表しています。こちらによれば、過去12ヵ月に少なくとも350以上の大規模なサイバー攻撃があり、2,170万人もの個人情報が被害を受けたということです。
こうしたサイバー攻撃にどのように対処すべきなのか?上記の三省庁の警告は、こう書きます。「身代金サイバー攻撃を止める唯一の手段は、身代金支払いに応じないことである。」究極的にはそのとおりなのですが、容易にできる最低限の対策は打っておくべきです。例えば、随時データのバックアップを取り、緊急時に復旧できるようにしておく、ウィルス対策のソフト等を利用する、アクセス制限を厳しくする、Eメールのセキュリティ関連トレーニングを徹底するなどです。
以下、EISの考察です。
- 日本でも、あまり公表されていないが、ランサムウェアの被害は増えていくものと考えられる
- 米国のように行政が主導で対策や啓発を行うとともに、各企業・個人による防御が不可欠である
- 一方、メディアや世論が必要以上にサイバー被害を騒ぎ立てるの犯罪者側の得にしかならないので、注意が必要である
- このとおり、国家・社会・個人レベルのIT/デジタルリタラシーとセキュリティ環境を高めることは国家的課題となる
参考記事