(写真イメージ)

先日、サイバー攻撃によって人が亡くなるという痛ましい事件が報じられた(*1)。サイバー攻撃は企業や組織だけでなく、さらにその向こうにいる「人」にも脅威をもたらしている。サイバーリスクへの対策・対応として問われているものとは。

間違った被害者

2020年9月、ドイツの大学病院のシステムが、救急車を管理するネットワークから突如切断された。当時、その大学病院へと搬送中だった重症患者を急きょ受け入れることができなくなり、新たに決まった30キロメートル離れたところにある病院へと移送されることとなった。

ことの発端は、広く使用されている商用ソフトウエアの脆弱(ぜいじゃく)性を突いたランサムウェア攻撃を、大学病院のシステムが受けたことによるものである。この脆弱性は昨年12月に既知(*2)のものとなっており修正プログラムも配布され、ドイツ連邦政府のセキュリティー担当部門である BSI(Bundesamt für Sicherheit in der Informationstechnik)からも今年1月に注意喚起(*3)がなされていた。

ところがこの大学病院では30台のサーバーが被害に遭ったことで、保存されていたデータが犯人の持つ「鍵」を用いなければ開くことができないよう暗号化され、システムが停止することとなってしまった。

この事件では、ランサムウェア攻撃を受けたサーバーのうちの1台に脅迫文が残されていたが、それは「意外な」相手へ宛てたものだった。なんと被害に遭った大学病院ではなく、この病院が「提携している大学」へ宛てたものだったのだ。

ドイツではこの数カ月の間に、大学や研究機関などを狙ったサイバー攻撃が増加している。