情報公開請求に基づく新たな数字によると、NHSは2014年以降209件のランサムウェア攻撃を受けているが、WannaCryランサムウェアがNHSを襲った2017年以降は劇的な改善が見られる。
調査会社Comparitechのレポートに掲載された数字は、2014年以降、次のことを示しています。
- 1台のコンピュータからシステム全体まで、209件以上の成功した攻撃
- 身代金が支払われたという報告はない
- 推定ダウンタイムは206日
- 2017年のWannaCryの年以降、報告された攻撃はわずか6件であったが、
- 病院の20%が調査への回答を拒否または怠った。
NHSへのランサムウェア攻撃(クリックして拡大)
研究者らは254のNHSトラストを調査し、184が回答し、20が回答せず、50が要求された情報の提供を拒否した。
2017年のWannaCry攻撃は、英国のホワイトハッカー、マーカス・ハッチンズによって阻止されたことで有名ですが、この攻撃によりインシデント数が101件に急増し、その多くが深刻な被害を受けたことが分かっています。2018年9月の政府報告書(PDF)によると、WannaCry(別名WannaCrypt)による生産活動とITサポートの損失額は9,200万ポンドと推定されています。そのほとんどは、攻撃中ではなく、攻撃後のデータとシステムの復旧に要した費用です。
NHSはセキュリティ強化のためにどのような対策を講じたのでしょうか?WannaCry事件の後、「教訓」レビュー(PDF)が作成されました。WannaCry事件は2017年5月に発生し、レビューでは次のように指摘されています。「WannaCryの影響を受けた80のNHS組織のうち、2017年4月24日にBTから特定の脅威に関する情報を受け取った後、NHS DigitalのCareCERT速報で2017年4月25日に推奨されたMicrosoft更新パッチ21を適用していた組織は1つもなかった。」
サポート対象外で古いWindows XPを搭載した一部のPCが侵害を受けましたが、「NHSの感染したデバイスの大多数は、サポート対象ではあるもののパッチが適用されていないMicrosoft Windows 7を搭載していました」。その後、Windows 7もほぼサポートが終了しました。このレビューでは、多くの常識的な推奨事項が提示されました。
2018年9月の報告書によると、NHSトラストは政府のサイバーエッセンシャルプラス基準の達成を求められています。さらに、IBMは脅威の監視と対応のためのサイバーセキュリティオペレーションセンターの設置契約を締結し、Microsoftとの新たな契約にはWindows 10とMicrosoftのAdvanced Threat Protectionのライセンスが含まれていました。
勧告には、職員に対する「サイバー意識向上研修」の義務化や、「すべての組織は、この義務的研修を修了していない職員からITシステムやサービスへのアクセスを剥奪すべきかどうか検討すべきである」という提案など、22項目が含まれている。
これらの数字に基づくと、WannaCryは効果的な警鐘となりました。とはいえ、Comparitechの統計は、インシデントの深刻度と範囲が考慮されていないため、本来の価値よりも低いかもしれません。しかし、ランサムウェアは消滅することはありません。昨年、Symantecはランサムウェアの全体量は20%減少したものの、企業向けランサムウェアは12%増加したと報告しました(PDF)。Covewareの最近のレポートによると、2019年第4四半期のランサムウェアによる平均支払額は前年比104%増加しました。ランサムウェアはますます巧妙化し、より高額になっており、依然として高いリスクを伴います。®
