2016年5月31日火曜日

”ランサムウェア被害の病院が、2度も解除キーの身代金を要求され交渉を破棄。”という記事について


Engadget日本版に5/25に掲載された記事

2度も解除キーの身代金を要求され交渉を破棄。ランサムウェア被害の病院、患者データ無事で影響少なく、自力復旧を選択
http://japanese.engadget.com/2016/05/25/2/

この記事の
”Kansas Heart Hospitalは当初、要求された金額が少なかったこともあり支払いに応じました。ところがハッカーは解除キーを渡すどころか、さらに額を吊り上げて要求を繰り返してきました。”
の部分がどうも気になった。なぜならランサムウェアの犯人達は、身代金を支払えばファイルが戻るという信頼を積み上げることで、より多くの人が身代金を支払うように仕向けていると言われており、このような行為はそのビジネスモデルを崩すことになるからだ。

よって、この記事が本当なのかソースを調べてみた。

Engadget日本版には、記事のソースとして、カンザス州のテレビ局KWCH12による被害にあった病院(Kansas Heart Hospital)のプレジデントGreg Duick氏へのインタビューへのリンクが張られている。

Hackers demand ransom payment from Kansas Heart Hospital for files
http://www.kwch.com/content/news/Hackers-demand-ransom-payment-from-Kansas-Heart-Hospital-380342701.html

この件に関する英語の記事が幾つも出ているが、すべてこのインタビューの記事(動画)をソースにしているようだ。

Kansas Heart Hospital hit with ransomware; attackers demand two ransoms
http://www.networkworld.com/article/3073495/security/kansas-heart-hospital-hit-with-ransomware-paid-but-attackers-demanded-2nd-ransom.html

Ransomware attackers collect ransom from Kansas hospital, don't unlock all the data, then demand more money
http://www.healthcareitnews.com/news/kansas-hospital-hit-ransomware-pays-then-attackers-demand-second-ransom

Engadgetの英語版にも同じ事件を扱った記事が出ているが、Engadget日本版は単にこれを日本語訳したのではなく、独自の部分がある。

Ransomware hackers get their money, then ask for more
http://www.engadget.com/2016/05/24/ransomware-hackers-get-paid-ask-for-more/


尚、Kansas Heart HospitalプレジデントのGreg Duick氏は、病院Webサイトの経歴を見ると、FACC(米国心臓病学会会員)のMD(医師)であり、1972年に医科大学を卒業ということから70歳近くであると思われる。よって、ランサムウェアやITに関する十分な知識があった上でインタビューに答えているどうかは不明だ。



インタビューから支払いとファイルの復元に関係する部分を見てみる。
Some files are still unaccessible by the hospital even though Kansas Heart did pay the ransom.
(カンザス心臓病院が身代金を支払ったにもかかわらず、いくつかのファイルはまだ病院によるアクセスが出来ない)
*冒頭のレポーターによる説明。この部分は動画のみで文字起こしはされていない。
But even after the hospital paid, the hackers didn't return full access to the files. Instead, they demanded another ransom. The hospital says, it will not pay again.
(病院が支払いをした後でさえ、ハッカーはファイルへのフルアクセスを戻さなかった。それどころか、彼らは更なる身代金を要求した。病院は、再び支払うことはないと言った。)
*インタビュー中。この部分はプレジデント自身の声ではなく、ナレーターが語っている。


"Some files are still unaccessible by the hospital"
(いくつかのファイルはまだ病院によるアクセスが出来ない)
"the hackers didn't return full access to the files."
(ハッカーはファイルへのフルアクセスを戻さなかった)
この部分を見ると、「一部のファイルは戻ったが、全部は戻らなかった」とも読める。そうなると、大量にばらまかれたメールを複数の職員が開いてしまい、複数の感染が起きていた可能性もある。それにより、ファイルサーバ等のファイルが2重に暗号化されてしまっていた可能性もある。(このような複数端末が同時に感染することは良くあること)

病院側としては一度払えば全てのファイルが戻ると考えたのだろうが、感染毎に異なる鍵で暗号化されているため、全てのファイルを戻すためには感染した回数だけ支払う必要がある。


尚、Engadget日本版には、「ところがハッカーは解除キーを渡すどころか」という記述がある。解除キーが渡されなかったなら、当然1つのファイルも復号出来ないことになるが、ソース記事には、解除キーに関する記述はなく、解除キーを全く渡されなかったのか、渡されたのにそれでは全てを復号出来なかったのか、わからない。


また、Engadget日本版の「さらに額を吊り上げて要求を繰り返してきました。」という記述もソース記事にはない。単に、”Instead, they demanded another ransom. ”(それどころか、更なる身代金を要求した)とあるだけだ。額を吊り上げたとはどこにも書いていない。


無論、
"Some files are still unaccessible by the hospital"
(いくつかのファイルはまだ病院によるアクセスが出来ない)
"the hackers didn't return full access to the files."
(ハッカーはファイルへのフルアクセスを戻さなかった)
が「1つのファイルも戻らなかった」という事だという解釈も出来る。
そうなると、TeslaCryptやLockyのようなマスを対象にしたばらまき型のランサムウェアではなく、特定の病院を狙った標的型的なランサムウェアだった可能性もある。なぜなら、ばらまき型のランサムウェアでは、支払いの確認から復号用のDecryptorや復号鍵の提供が自動化されており、対象に合わせて個別に対応を変えるということは行わないからだ。

ただそうなると、プレジデントが支払ったのは少額だ(A small amount was made)と言っているのが腑に落ちない。標的型的なランサムウェアであれば、最初からある程度高額な金額を要求するのではないか?最初に払った金額は明らかにされていないが、「患者の情報は含まれていない」「治療には全く影響しない」にも係わらず、支払いをしたということは、やはり少額だったのではないか?
(ばらまき型のランサムウェアでは$300から$500程度のことが多い。病院へのランサムウェアの事例としてよく取り上げられるHollywood Presbyterian Hospitalでは、$17,000を支払ったと公表している。)

そうだとすると、やはり、ばらまき型のランサムウェアに多重に感染した可能性が大きいようにも思えるが、ソース記事(動画)を見ても不明確なことが多いので、はっきりとした答えは出せない。


まとめ


  • 身代金の支払いにより、一部のファイルは戻ったのか、全く戻らなかったのか、ソース記事を見ても不明
  • 解除キーを渡さなかったという記述は、ソース記事にはない
  • さらに額を吊り上げて要求を繰り返したという記述は、ソース記事にはない
  • ばらまき型のランサムウェアに多重に感染していた可能性もある
  • 特定の病院を狙った標的型的なランサムウェアの可能性もある
  • 病院側は支払った身代金は少額だったと言っているが、標的型的なランサムウェアの場合は最初からある程度高額な身代金を要求するのではないか?
  • ソース記事を見ても不明確なことが多いため、これを持って、ランサムウェアの戦術が変わったとか、ランサムウェアに新たな事例が現れたとか考えないほうが良いだろう