今年10月末に起きた大阪市の大阪急性期・総合医療センターへのランサムウェア攻撃。NTTセキュリティ・ジャパンの11月のセキュリティレポートによると、攻撃したランサムウェアはPhobos(フォボス)とみられているということです。Phobosとはどのようなランサムウェアなのでしょうか?
医療業界をターゲットにすることが多い
NTTセキュリティ・ジャパンのレポートはPhobosについて次のように記しています。
医療業界をターゲットとすることが多く、電子メールによるフィッシングやリモートデスクトップを介したシステムへの侵入といった手口で知られている。昨年、米国の保健福祉省(HHS)も同グループの分析レポートを発表し、医療関係者に注意を促している
メディアを賑わせているランサムウェアにこれまでPhobosという名前を見た覚えがないのですが、パロアルトネットワークスのUnit42のランサムウェア脅威レポート2022によると、2021年にUnit42が対応したランサムウェアを対応の割合の多い順にすると、Phobosは、Conti、Revil/Sodinokibiに次ぐ、Hello Kittyと並ぶランサムウェアとして登場しており、メジャーなサービスとしてのランサムウェア、RaaSであることは間違いないようです。
2016年に登場したDharmaというランサムウェアの後継として2018年に登場したランサムウェアのようです。ちなみにPhobosという名前はギリシャ神話に登場する恐怖の神、ポボスに由来していると言われています。攻撃の手法が簡易であることからいわゆるアフィリエイトと呼ばれる攻撃を担う犯罪者からの人気が高く、それがアクティビティに反映しているのかもしれません。
一方で、標的としているのは中小規模の組織で、要求する身代金も他のランサムウェアと比較すると低額だと言われています。また、昨今のランサムウェアの常とう手段となっている身代金を払わなければデータを公開すると言って脅す二重脅迫を行わないランサムウェアだということです。実際、Unit42のランサムウェア脅威レポート2022では、2021年に4番目に活発なランサムウェアとして登場しているにもかかわらず、ランサムウェアごとのリークサイト被害者数を示したグラフにPhobosの名前はなく、暗号化したデータを漏えいするリークサイトはないようです。Phobosは、大組織に攻撃を仕掛けて多額な身代金を要求し、要求に応じなければ二重脅迫をする昨今注目されている派手なランサムウェアではなく、中小組織を狙って低額の身代金を要求するどちらかというと地味なランサムウェアの印象です。
今年6月には障害者向け就労支援の企業を攻撃
日本でPhobosの攻撃が確認されたのは2019年になってからのようです。大阪急性期・総合医療センターが攻撃を受けた4カ月前の6月にはLITALICOおよびLITALICOパートナーズがPhobosの亜種とみられるランサムウェアにより攻撃を受けたことが報じられています。LITALICOは障害者向け就労支援事業や教育事業を行っている企業で、障害者の就労を支援する事業所を自治体と連携するなどして全国に展開しているようです。
一方、大阪急性期・総合医療センターへの攻撃については、大阪市内にある病院や福祉施設などに給食を調理・配送する社会医療法人生長会が運営するベルキッチンのシステムを介して攻撃が行われたとみられています。生長会は大阪急性期・総合医療センターが攻撃を受けた10月31日から7日後の11月7日に「ウィルス感染被害によるシステム障害発生のお知らせ」を発表、ベルキッチンのシステムがランサムウェア攻撃を10月31日に受けていたことを明らかにしています。大阪急性期・総合医療センターはベルキッチンから給食の配送を受けており、同センターがベルキッチンとシステム的につながっていたことを認めています。
大阪急性期・総合医療センターでは厚労省の専門家のアドバイスを受けてシステムの復旧に努め、年明けには全面復旧を図る方向だということです。その後、調査委員会を設置し、攻撃を受けた経緯や原因等について詳しく検証していく予定だということです。
■出典
https://jp.security.ntt/insights_resources/cyber_security_report
https://start.paloaltonetworks.com/unit-42-ransomware-threat-report.html
https://www.security-next.com/137652
https://litalico.co.jp/news/13841
https://www.seichokai.or.jp/bellkitchen/