ドイツのデュッセルドルフ大学病院でランサムウェアが救急医療を妨害し、警察が「過失致死」容疑で捜査を開始した。サイバー攻撃が史上初めて、患者の死亡に直接つながったケースだ。
ケルンの捜査当局によると、死亡した女性患者は9月9日、デュッセルドルフ大学病院で救命処置を受ける予定だった。だが、ランサムウェア攻撃を受けてシステムが停止したため同病院での治療ができなくなり、19マイル(約30キロメートル)離れた別の病院に搬送された。BBCは、攻撃を仕掛けたハッカーが刑事責任を問われる可能性があると報じている。
元・英国国家サイバーセキュリティセンター(NCSC)のキアラン・マーティン最高経営責任者(CEO)は、英国王立防衛安全保障研究所でのスピーチで「これが事実だと確認されれば、サイバー攻撃が直接的に人を死亡させた初のケースになるでしょう」と述べた。「ランサムウェアの目的は金儲けですが、システムを止めてしまうため、病院を攻撃すればこうした事件が起こる可能性があります。今年の初めには欧州全土で未遂事件が数件ありましたが、今回は悲しいことに最悪な事態になりそうです」。
ランサムウェアは今や10億ドル規模の犯罪産業だ。多くの場合、ハッカーは企業を標的にし、ITシステムを停止させてデータを盗み出し、数百万ドルを脅し取る。医療機関はこれまで何度も攻撃を受けており、近年の犯罪経済の急成長に伴い、患者の死は避けられないとの懸念が広がっていた。
8月には、自動車メーカーのテスラに対して数百万ドルの身代金を要求する攻撃が計画され、従業員の通報によって阻止されたことが話題になった。報道によると、このハッカーは数週間にわたって米国のテック企業ガーミン(Garmin)を攻撃し、1000万ドルの身代金が支払われたとのことだ。
ただ単にコンピューターがハッキングされるのと、人命が失われるのとでは大きな違いがある。もはや人々への脅威は理論的なものではなくなっており、根本的な問題の解決が新たな喫緊の課題となるかもしれない。ドイツ当局は、ハッカーがシトリックス(Citrix )の仮想プライベート・ネットワークソフトの脆弱性を利用して攻撃したことを明らかにしている。この脆弱性は今年1月に公表されていたものの、病院側は対処できていなかった。
脆弱性の修正は想像以上に難しく、常に稼働している医療機関などでは特に困難が伴う。しかし、人命がかかっている以上、現状のままでは不十分なことは明らかなはずだ。