病院がランサムウェア攻撃を受けた影響で患者が死亡した初の事例が報告される

ドイツの病院が、システムへのアクセスを制限され身代金を要求されるランサムウェア攻撃のターゲットとなり、患者の受け入れができなくなったことで、搬送中だった患者が死亡する事件が起こりました。これは、病院へのサイバー攻撃の影響で直接的に死者が出た初の事例だとみられています。

German Hospital Hacked, Patient Taken to Another City Dies | SecurityWeek.Com
https://www.securityweek.com/german-hospital-hacked-patient-taken-another-city-dies

First death reported following a ransomware attack on a German hospital | ZDNet
https://www.zdnet.com/article/first-death-reported-following-a-ransomware-attack-on-a-german-hospital/

Woman dies during a ransomware attack on a German hospital - The Verge
https://www.theverge.com/2020/9/17/21443851/death-ransomware-attack-hospital-germany-cybersecurity

2020年9月10日、ドイツのデュッセルドルフ大学病院はランサムウェア攻撃にあったことを発表しました。この攻撃で病院内のサーバー30台がランサムウェアに感染したとのこと。調査の結果、ランサムウェアの感染は「広く使われている商用アドオンソフトウェアの脆弱性を利用したもの」だったと判明しています。

Krankenhaus derzeit nur sehr eingeschränkt erreichbar – Patientenversorgung eingeschränkt ǀ UKD
https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/krankenhaus-derzeit-nur-sehr-eingeschraenkt-erreichbar-patientenversorgung-eingeschraenkt

システムがダウンしたため、デュッセルドルフ大学病院に搬送中だった女性患者の一人は、「受け入れができなくなった」として別の病院への移送が促されました。新たに決まった搬送先はデュッセルドルフ大学病院から30km離れたところにあり、治療開始が1時間遅れたため、患者は病院到着後になくなったそうです。これは、病院へのランサムウェア攻撃に直接的な影響を受けて死者が出た、世界初の事例だとみられています。

ランサムウェア攻撃には通常、身代金の要求が伴いますが、今回の攻撃で病院が直接的に身代金を要求されることはありませんでした。ドイツのニュースメディア・RTL.DEによると、身代金の要求は病院ではなく近郊の大学に送られたとのこと。そして当局が攻撃者に対し「攻撃によって病院が影響を受けて患者が危険にさらされている」と告げた後、攻撃者はランサムウェア攻撃を停止し、データを復号化するためのデジタルキーを提供したと伝えられています。

ランサムウェア攻撃の犯人は捕まっておらず、検察は過失致死罪での捜査を開始する予定です。

なお、近年は医療機関を狙ったサイバー攻撃が増加しており、特に危険視されています。

医療機関を狙ってPC内のデータを人質に取り身代金を要求するランサムウェア「SamSam」の被害が拡大していることが判明 - GIGAZINE

by NEC Corporation of America

2017年に世界中で大流行したランサムウェア「WannaCry」は、イギリスの病院システムにも影響を与え、手術の順番が再調整されるといった事態が起こりました。

20万人以上が感染したランサムウェア「WannaCry」は身代金として約300万円をゲットしていることが明らかに - GIGAZINE

by 401(K) 2012

またデータ流出が起こると病院側がソフトウェアアップグレードの必要性に迫られ、医師が行うべき操作が変更されることから、データ流出の数年後には病院での心臓発作の死亡率が増加すると研究で示されています。医療機器を直接的なターゲットとする攻撃ではなくとも、患者のデータを標的とした攻撃もまた、患者の死亡率上昇につながる可能性があると指摘されています。