世界最大級のヘルスケア企業が受けたランサムウェア攻撃 何がまずかったのか

時価総額5000億ドル近い巨大企業がランサムウェア攻撃を受け、大量のデータが流出した。この事例からはどのように防御を固め、事後処理を進めればよいのか5つの教訓が得られる。

[Matt Kapko，Cybersecurity Dive]

　巨大な企業は潤沢な資金を用いて強固で柔軟なサイバー防御態勢を築くことができるはずだ。だが、世界10位の企業であってもランサムウェア攻撃に対してうまく対処できなかった。そこから学べる教訓はなんだろうか。

巨大企業が失敗した理由とは

　この企業が攻撃を受けた結果、米国人の3人に1人のデータが盗み出されてしまった。後から振り返るとこのような事態を防ぐ方法があった。どのような方法だろうか。

　ヘルスケアサービス企業UnitedHealth Groupは2023年のFortune 500で10位にランクしており、時価総額は4774億ドルだ。多国籍企業であり、医療保険やヘルスケアサービスを提供している。2022年に米国最大の医療決済プラットフォームを提供するChange Healthcareの買収したものの、Change Healthcareは2024年2月にランサムウェア攻撃によって数カ月の間ダウンしてしまった。

　あまりにも規模が大きな攻撃だったため、2024年4月下旬、米国議会上院はサイバー攻撃とUnitedHealthの対応に関する公聴会を開いた（注1）。同社のアンドリュー・ウィッティ氏（CEO）は、適切なバックアッププランが欠けていたこと、サイバーセキュリティシステムに欠如があったことを説明した。攻撃者は患者の情報にアクセスしていたが、データ侵害の範囲がまだよく分かっていないことも明らかになった。

攻撃から得られた5つの教訓

　ウィッティ氏は、2024年2月12日にランサムウェアグループ「AlphV」がChange HealthcareのIT環境に侵入するまでの経緯と（注2）、米国居住者の3分の1に関するデータを盗み出し、ランサムウェアを展開した後の出来事も語った。

　議会の2つの公聴会で4時間以上にわたって、ウィッティ氏は質問攻めにった。その結果、なぜこのランサムウェア攻撃がヘルスケア業界に壊滅的な影響を与えたのかが分かってきた。

　本稿では、ウィッティ氏の証言から得た5つの教訓を紹介しよう。

（1）Change Healthcareのレガシーテクノロジーが攻撃の影響を増幅

　ウィッティ氏によると、Change Healthcareは2007年に設立されたものの、同社の医療費請求と支払い処理事業を運営する技術システムの一部は、それ以前、約40年前にさかのぼるものだという。

　2022年に130億ドルでChange Healthcareを買収したUnitedHealthは、この攻撃を受ける前にちょうと、Change Healthcareのテクノロジーの大部分をアップグレードし、モダナイズしている途中だった。

　「攻撃によって、買収前にChange Healthcareの社内で開発されていたさまざまなバックアップシステムがロックされてしまった。これが、復旧にこれほど時間がかかった根本的な原因だ」（ウィッティ氏）

　攻撃前、Change Healthcareのデータの大半は、社内のデータセンターに保管されていた。ウィッティ氏は「テクノロジー環境を再構築するにつれ、クラウドへの移行が進んだ。これはより安全な環境を生み出すと信じている」と述べた。

（2）盗まれた認証情報で認証が素通りに

　ウィッティ氏によると、攻撃者は2024年2月12日に、盗んだ認証情報を使ってChange Healthcareのリモートアクセスサーバにアクセスした。

　同社は、攻撃前に認証情報が盗まれており、ダークWebで販売されていたことをある程度確信している。

　正規の認証情報が盗まれた上に多要素認証（MFA）が欠けていたため、攻撃者はChange Healthcareのシステム内を横移動し（ラテラルムーブメント）、データを盗んで暗号化し、2024年2月21日にランサムウェアを展開した。

（3）複数のインシデント対応チームの助力を得た

　UnitedHealthは攻撃への対応と復旧を支援するために、少なくとも7つのインシデントレスポンス企業と第三者のサイバーセキュリティ専門家を招いた。これらの取り組みの全ては攻撃後に開始され、一部は今後も継続される予定だ。これは良い取り組みだ。

　ウィッティ氏は特に、MandiantやPalo Alto Networks、Bishop Foxから受けたサポートを挙げた。書面による証言では、Google、Microsoft、Cisco Systems、Amazon Web Services（AWS）も現地で復旧、助言、テスト作業を支援していたことが分かる。

　UnitedHealthは、同社のサイバーセキュリティの監督と戦略を強化するため、Mandiantに対して、永続的なアドバイザーとして取締役会に参加するよう要請した。これも良い取り組みだ。

　「彼らの助力はこの攻撃を理解する上で非常に役立っている。また、当社のトップに最高のアドバイスができるように、取締役会のアドバイザーになってくれた。私たちは、最も優れた企業からサイバーセキュリティに関するアドバイスを得ている」（ウィッティ氏）

（4）対応は早かったが復旧には障害があった

　UnitedHealthは初動が遅かったわけではない。ランサムウェア攻撃を認識すると、直ちにChange Healthcareを他の全てのシステムから切り離した。

　ウィッティ氏によると、このような迅速な対応によってランサムウェアの拡散が防がれ、国内の他のプロバイダーまたはネットワークに感染する可能性を防いだ。同氏は「私たちは『爆発の被害半径』をChange Healthcareに限定するために全てをシャットダウンした」と述べた。

　「これは物理的な意味でのパイプラインビジネスではなく、ソフトウェアとネットワークを使ったものだ。攻撃されると、ソフトウェアが影響を受けたり暗号化されたりして、システム全体がフリーズしてしまう脆弱（ぜいじゃく）性があり、これが今回のような壊滅的な影響をもたらした」（ウィッティ氏）

　レガシーテクノロジーを使っていたため、Change Healthcareでは、本番環境とバックアップ環境が分離されておらず、両方のシステムが攻撃の影響を受けた。これは非常にまずい事態だ。

　ウィッティ氏は「クラウドのIT要素はすぐにオンラインに戻せたが、古いデータセンターのシステムは何層もの古いテクノロジーによって覆われており、復旧が難しかった」と述べた。

　ウィッティ氏によると、多くの人が予想していたよりも復旧作業に時間がかかった（注3）。なぜならば、UnitedHealthはChange Healthcareのプラットフォームを一から作り直さなければならなかったからだ。再構築には、クラウドベースの最新テクノロジーが含まれ、攻撃以前に存在したものよりもはるかに優れたセキュリティ機能が組み込まれたという。

（5）多要素認証が有効になっていなかった

　AlphVがChange Healthcareのシステムに侵入するために使用した無防備なリモートアクセスポイントについて、複数の議員がウィッティ氏に質問し、批判した。

　Change Healthcareのポリシーでは、外部に面した全てのシステムで多要素認証をオンにすることになっている。正規の認証情報が盗まれたとしてもそのまま素通しにならないようにするためだ。

　それにもかかわらず、デスクトップリモートアクセスに使われていたChange HealthcareのCitrixポータルでは、多要素認証が有効になっていなかった（注4）。理由は調査中だ。

　ウィッティ氏は「サイバー犯罪者が侵入できたのは、このサーバからだった。私たちは、なぜそのサーバが多要素認証で保護されていなかったのかを正確に理解しようとしている。この事実について、私もいら立ちを覚えている。なぜこのサーバが保護されていなかったのかを正確に理解するために取り組んでいる最中だ。現在、UnitedHealth Group全体で全ての外部向けシステムにおいて多要素認証が有効になっていることを確認している」（ウィッティ氏）

出典：Change Healthcare cyberattack: 5 technical takeaways from UnitedHealth CEO’s testimony（Cybersecurity Dive）
注1：Congress grills UnitedHealth CEO over Change cyberattack（Cybersecurity Dive）
注2：Change Healthcare, compromised by stolen credentials, did not have MFA turned on（Cybersecurity Dive）
注3：Change Healthcare’s drawn-out recovery catches flak from cyber experts（Cybersecurity Dive）
注4：Change Healthcare, compromised by stolen credentials, did not have MFA turned on（Cybersecurity Dive）