ドイツの病院がランサムウェアに感染、初の死亡例/iStock
ドイツの病院で、コンピューターが乗っ取られ、「ランサムウェア」に感染した。その結果、システムが正常に働かず、搬送中だった患者が死亡する事件が起きた。これはサイバー攻撃で直接的に死者が出た世界初の事例で、現在、地元警察は過失致死罪の容疑で犯人の行方を追っているという。
病院のコンピューターがランサムウェアに感染、身代金を要求
9月9日の夜、デュッセルドルフ大学病院のコンピューターシステムがサイバー攻撃を受け、ランサムウェアに感染した。ランサムウェアとは、マルウェアの一種で、これに感染したコンピューターは、利用者のシステムへのアクセスを制限したり、システムを使用不可にしてしまう。
この解除と引き換えに、犯人側は身代金(ransom、ランサム)を支払うよう要求することから「ランサムウェア」と名付けられた。
事実、病院側には 犯人グループからランサムウェアの解除コードと引き換えに、ビットコインによる多額の身代金が要求された。
iStock
システムダウンにより病院に搬送できなかった女性が死亡
これに巻き込まれる形になったのが、デュッセルドルフ在住だった女性患者だ。この女性は、すぐにでも治療が必要な危険な状態にあり、本来ならばデュッセルドルフ大学病院に搬送されるはずであった。ところがデュッセルドルフ大学病院は、システムがダウンしていたせいで女性を受け入れることができない。
結局、彼女はそこから30キロ離れたヴッパータールの病院に搬送されることになり、そこへの途中で亡くなった。
iStock
本来の標的は大学だった
ハッカー(クラッカー)は警察の関与を知って病院への要求を取り下げたようだ。すでに病院側にランサムウェアの解除コードが引き渡され、現在システムは復旧しているとのこと。なおハッカーの本来の標的は病院ではなく、デュッセルドルフ大学であったらしい。
しかし、系列内の病院もまた大学のネットワークの一部であったために、システムがダウンしてしまったようだ。
病院側にも過失がある可能性
ランサムウェア感染と女性の死の因果関係については現在捜査中であるそうだが、もしこれが確認されればサイバー攻撃で人命が失われた初の事例となる。ランサムウェアはシトリックス社が開発したVPNソフトウェアの脆弱性を突いたものだった。実はこの脆弱性はよく知られたもので、今年1月の段階で国内のサイバーセキュリティ当局から警告が出されていたとのこと。
病院側がその事実を把握していたにもかかわらず、何の対応も行っていなかったとすれば、病院に過失が認められる可能性もあるという。
References:zdnet / unilad/ written by hiroching / edited by parumo
あわせて読みたい
ネット上のデータベースが削除され、猫の鳴き声に書き換えられる謎の「ニャー攻撃」が多発。被害総数は4000件以上
選挙の脆弱性を探り出すため。ハッカーたちが投票機へのハッキングに挑戦するデフコン大会(アメリカ)
全世界でサイバー攻撃が起きている場所をリアルタイムで見ることができるサイト「Cyber threat」
進化する人工知能ラブロボットに専門家が警告。ハッキングされたら所有者を襲う「キラー・ラブロボット」になる可能性
11歳少年がたった10分でハッキング。フロリダ州の選挙投票結果を書き換えることに成功(アメリカ)
コメント
1. 匿名処理班
それでも止まらないゲームキューブwww
2. 匿名処理班
間接的に人をあやめ何も感じないクラッカーは
さっさと見つけ、ハッカーの面汚しのこいつを
徹底的に苛め抜き処罰してくれ
3. 匿名処理班
病院側のサイバーセキュリティ意識の低さにも驚いた
たぶん、誰も責任は取りたくなかったんだろうな
4. 匿名処理班
これで病院に過失あるってなったらたまったもんじゃないな……
5. 匿名処理班
そんな漫画とかラノベじゃあるまいしな事が現実になろうとは…
6. 匿名処理班
ただ仕掛けた側の罪がなくなるわけではないだろう。
7. 匿名処理班
これ普通にハッカーが人殺しでは……?
流石に病院だけが悪いってならないよな?
強盗される方が悪いとか言わんよな?
8. 匿名処理班
直接手を汚さないから気楽にやるものもいるのかもしれない。でも今回のようにインターネットが生命を左右する時もある。みんな肝に命じるべき。誹謗中傷も然り
9. 匿名処理班
IP匿名化やってたら、足つかないかもね
10. 匿名処理班
サマーウォーズみたいだな
11. 匿名処理班
対応??お金払っとけよってこと?
12. 匿名処理
XPや2000でいいからネットにつなぐな
13. 匿名処理班
これ犯人側も人死が出るなんて思ってなかったんだろうな
大学が標的だったって話だし
良心があるのなら自首しれ
14. 匿名処理班
日本だったら威力業務妨害罪、未必の故意か。これしっかり逮捕して罪に問わないと模倣犯が病院狙ってやりたい放題だろ。
15. 匿名処理班
>>4
ほっといたのは事実やんけ
16. 匿名処理班
初のサイバー攻撃によって行われた札人か
なんとなくグリコ森永事件を思い出した
金目当てで人の命奪う畜生なんか早く逮捕してほしいわ
17. 匿名処理班
Citrixで1月に出た脆弱性か、確かにいくつかあるな
当時はゼロデイ攻撃だったっぽいが発表されて半年以上、対策はして然るべきだな
と建前上はそうなんだが、どこもアップデートに関わる作業工数やアプデ後の動作確認などが重くてすぐに動くところは少ない
今回も停電作業などがあったらその時に一緒にやろうとして置いておいた結果、脆弱性が残ったままだったんだろう
18. 匿名処理班
ハッカー側に直接の過失責任があるのは当然として、病院側にどれほどの不作為が認められるかですね。多数の命を預かる組織であれば、システムを含めた防犯対策は当然固める必要があるが、上のコメントにあるように対策にも手数が必要だし、または脆弱性に疎かったことも考えられる。
ハッカー側にしても、鍵のかかっていない窓を知っていて、安易に「小銭を盗む」程度の認識で犯行に及んだかもしれない。
ささいないたずら、後回しにしといた仕事、などが重大な結果になって跳ね返ってくるという教訓は、学ぶべきものがあると思う。
19. 匿名処理班
病院のシステム、Windowsだったのか?
そうじゃないなら結構怖い話だ
20. 匿名処理班
人は基本的に明確な問題を指摘されても何か起きてからじゃなきゃ動かない生き物だしね
特に今回の大学の様に組織が大きくなれば大きくなるほどにな
この性質の為に今回のサイバー攻撃に限らず事前に動かなかった為にどれだけの事故が起きてきたかって考えると人って本当過去に学ばない生き物だよ
起きてからじゃ遅いっていつになったら学ぶんだろう…
21. 匿名処理班
コンピュータシステム、よくわかんないんだけど、これはさ、やっちゃいけないことだよね
たとえ病院が脆弱でもさ、攻撃するほうはわかるんでしょ?
ワシはこういうのよくわかんないんだけど…
22. 匿名処理班
※17
病院の場合はアップデートのせいで何かの機器が停止したらそれこそ命にかかわるから、できる限り安定してるシステムには変更をくわえたくないんだよね。
そのせいでいまだにXP使ってるパソコンとかザラにある。
流石にそういうのはスタンドアローンだけど。
やるにしても動作確認にめちゃくちゃ時間がかかるのに、患者さんのために24時間ずっと動かす必要のあるシステムが多いから、停電作業のときに一緒にやるとか、大規模な準備が必要になってしまう。
23. 匿名処理班
>>11
脆弱性を修正しておけよ、ってことでしょ
一番悪いのはクラッカーだが
24. 匿名処理班
この犯人のIDを突き止めて
病院のサービス一切、受けさせなくすれば
今後の予防策になるべし。
25. 匿名処理班
まるでサ〇ーウ〇ーズだな…いやしかし。他者の人命まで奪ってまでハックする意味は?
26. 匿名処理班
※21
Redditの受け売りだけど、スーパーマーケットで万引きするようなもんらしい
要するに完全に防ぐのは難しいが、それでも営業するしかないってことだと思う
27. 匿名処理班
こういうのがあるから、ネットに繋がる家電とか車を買う気せんのよ
踏み台にされる危険性もあるしね
28. 匿名処理班
諸々の事情があるし、サイバーセキュリティの脆弱性を放置していてもいいよね!とはならんだろ
29. 匿名処理班
30キロ離れた病院に連れてくぐらいなら、とりあえずシステムダウンした病院に連れてっても良かった気もするが。
搬送中思ったより病状が悪化するのが早かったのかな?
30. 匿名処理班
FAXは残しておけとあれほど・・・
31. 匿名処理班
※15
貴方が家に鍵をかけ忘れて出かけたとして、泥棒に入られたら、悪いのは泥棒ではなく貴方自身なのかね?
32. 匿名処理班
脆弱性の警告がされたのが1月って事は、数ヶ月もせずにcovid-19禍が来たって事よね
システム面と医療面ではスタッフさん別々だろうとはいえ、上で挙げられてた理由に加えていつにも増しててんてこ舞いだったんじゃないかなあ
だからいいよって事にはならなくても、情状酌量の余地はありそう。あって欲しい
33. 匿名処理班
>>31
日本でも鍵をかけ忘れた場合は持ち主にかなり重めの責任が発生するぞ
それこそ車のかぎのかけ忘れで盗まれた車が人身事故起こしたら持ち主も責任追及されて刑事罰食らう
家に泥棒が侵入した時も鍵がかけてなかったら保険下りなくなるケース多いし加害者側の過失割合が一気に軽減する
企業はハッキング対策怠った場合漏洩等で取引先に被害が出た時は全部自社のミスとして損害賠償する法律も去年できた
最低限の自己防衛は義務だよ
34. 匿名処理班
>貴方が家に鍵をかけ忘れて出かけたとして、泥棒に入られたら、悪いのは泥棒ではなく貴方自身なのかね?
日本では多くの人は悪いのは泥棒だけだけど、フランスはスリにあったら両方悪いってなる。
ドイツのこの事件は一番悪いのは犯人だけど、病院なんだしもっと危機感持つべきだ批判されても仕方ない
35. 匿名処理班
ウイルスに限らずシステムがダウンすることはありうる。
停電や災害mテロなどで影響をうけることも考えられる。
なのに何も対策していませんでした、というのは問題ありじゃないかな。
転送に30kmというのも含めて。
36. 匿名処理班
>>15
大学病院と契約してたって訳でもないだろうから、残念だけど受け入れ不可なのは仕方ないよ
37. 匿名処理班
病院が悪いと擁護する連中が結構居るんだね。
日本で行う為に世論誘導?
38. 匿名処理班
※31
一般家庭のPCがウイルスにやられましたー ってんならまだしも
人の命を預かる病院でシステムダウンを起こす脆弱性放置は、
「銀行の貸金庫に鍵をかけ忘れて、泥棒に入られました」
ってくらいには、経営側にも危機管理の甘さはある気が。
39. 匿名処理班
※36
※15が言ってる「ほっといた」は、
患者の搬送受け入れを断ったことじゃなくて
ソフトの脆弱性を把握しつつ手を打たなかった件だろ。
40. 匿名処理班
※37
一般論と前置きして、不利益や実害を与えてしまう可能性が予見できたにもかかわらず対応を怠った場合、不作為の過失を問われる。過去の薬害や公害などの例を見るまでもなく、それは非常に厳しい批判(場合によっては実刑や損害賠償)にさらされるので、何らかの予防措置は必須なわけです。
だからしてハッカーの擁護とは無関係です。
41. 匿名処理班
>>2
同意。
そもそもサイバー攻撃を仕掛けた目的は病院のシステムを強制的に停止させ、業務をたち行かなくさせることでの金銭の要求だったはず。
業務が止まれば、不足の事態によって死者が出ることも予測できただろう。
死者が出た今、「暴力を行使しないマルウェアで人を殺めるとは思わなかった」なんて子供の言い訳は通じない。
偶発的だったにせよ病院へ金銭を要求したのはあちら側。病院側の過失よりも、分かっていてやった殺人者たちが大罪に決まっているだろう。
防犯って言うのは起こってから初めて対策ができて施行されるものだからね。
42.
43. 匿名処理班
>>31
なあ、どこにそんなコメントがあるのかな?
意味不明な解釈と例示をして何が言いたいんだこいつ
44. 匿名処理班
>>37
で、どこに病院が悪いと「擁護」(何に対しての擁護なのか不明だが)してるコメントがあるんだ?
お前さんの頭の中にいる非現実世界の連中かな?
45. 匿名処理班
ハッカー最低だな
46. 匿名処理班
どうやらアメリカでもランサムウェアによる病院攻撃が行われてるようだ
WIREDが「米国の大手医療企業がランサムウェアに攻撃され、多くの病院で現場が大混乱に陥っている」という記事で書いている。デュッセルドルフの話も取り上げられてる。
攻撃された米病院等は「あらかじめ構築していたバックアップ・プロセス」で紙文書によって業務を回してるそうだ。
47. 匿名処理班
※41
ただ、最初から病院を標的にしていたなら
殺人罪についても未必の故意がとれる余地は十分にあるが、
「大学を標的にしたら、たまたま大学病院も一緒にダウンした。
まさか命を扱う場に被害が及ぶとは、そんな発想は無かった」と
主張したら(本当にそうであれ、罪を軽くする言い逃れであれ)、
検察側が「そんな事はない、救急病院にも支障が出ると解った上で、患者が死んでも構わないと思って実行した」と客観的な裏付けで立証できない限り、
せいぜい過失致死くらいにしかならない可能性も…。
ドイツの刑法はよく知らないけど、どうなるんだろ?
48. 匿名処理班
>>15
海外では人質の命より犯罪を制圧する方を推奨されてる
要求をのんだらまた新たな犯罪が生まれるという建前だが単に犯罪が多すぎて市民の命が軽くて警察が無能なだけ
外国で立てこもりテロがおき人質が大量にいても突入して銃撃戦になる
巻き込まれた人質は犯人以外の銃弾で殺され生存者ゼロでも、各国の有力者は事件解決のお祝いをその国におくる
犠牲者へのお悔やみは日本の首相だけが唯一述べた
49. 匿名処理班
>>15
クラッカーが攻撃を仕掛けなければ良かっただけで病院に落ち度はない
病院が彼らに何かしたのか?戦時ですら病院は保護される場所だぞ(少なくとも多国間の取り決めであるジュネーヴ条約では)
平時にこんなことをしでかした奴らは血に飢えた殺人鬼ってわけだ