ドイツの検察は、病院へのランサムウェア攻撃が、ある人物の命を奪った原因であることを証明しようとした。彼らの訴えは、警告となる。
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
9月11日の夜、ドイツのデュッセルドルフで救急隊員が、大動脈瘤を患う78歳の女性の容態が悪化しているという通報を受けました。当初は通常の搬送として始まった救急隊員の対応は、地元の大学病院に連絡し、到着予定を知らせたことで、事態は急転しました。救急外来は閉鎖中で、患者を受け入れることはできないと告げられたのです。
救急車は32キロ離れたヴッパータールのヘリオス大学病院に誘導され、患者の治療は1時間遅れ、その後まもなく死亡した。
この悲劇的な一連の出来事は、サイバー犯罪対策当局の注目を集めました。ハッカーがデータを暗号化し、解除と引き換えに金銭を要求するランサムウェア攻撃により、病院は救急車の受け入れを拒否せざるを得なくなりました。この攻撃により、病院が医師、ベッド、治療の調整に頼ってきたデジタルインフラが侵害され、数百件の手術やその他の処置が中止を余儀なくされました。また、病院の収容能力も大幅に制限されました。通常は1日に1,000人以上の患者を治療しているのに対し、攻撃中および攻撃後はその半分しか対応できませんでした。既に入院中の患者を守るために、新たな入院を中止する必要がありました。
攻撃後、これがランサムウェアによる最初の死亡事例である可能性が示唆された。ケルンの検察は、ハッカーの身元が特定できるという前提の下、過失致死罪でハッカーを訴追する準備を整えた。過失致死罪とは、過失または悪意なく他人を殺害する罪である。訴追が成功するには、法的な因果関係、つまり攻撃とそれがもたらした治療の遅れが、死亡に十分な影響を与えたことを証明する必要がある。
ケルン検察庁の主任検事、マルクス・ハートマン氏は、「これは常に争いになるだろう」と述べた。2ヶ月に及ぶ捜査の後、ハートマン氏のチームは、これ以上捜査を進める十分な根拠がないとの結論に至った。この事件にはランサムウェアが関与していたが、法律上、ハッカーのせいにして死を責めることはできない。
ランサムウェア攻撃は9月10日の早朝に初めて確認されましたが、もっと早く始まっていた可能性もあります。病院の内部ネットワークは非常に広範であるため、職員が暗号化されたファイルに気付かずに数日間使用していた可能性もあります。ランサムウェアは、Citrixアプリケーションの既知の脆弱性を介してデュッセルドルフ大学病院のネットワークに侵入しました。病院側は、パッチがリリースされた1月に脆弱性を修正したと主張していますが、ランサムウェアのローダーは脆弱性が明らかになった12月にインストールされていた可能性があります。
地元報道によると、この攻撃は誤った標的への攻撃だったとみられる。病院のサーバーに仕掛けられたハッカーからの身代金要求メールが、病院ではなく系列のハインリヒ・ハイネ大学に向けられていたことが主な原因だ。ハッカーたちはおそらく自らの誤りを認め、病院を攻撃したと知らされた際に暗号鍵を警察に提出した。しかし、これはすべて「手の込んだPR活動」の一環かもしれないとハートマン氏は警告する。「私たちの経験から言うと、ハッカーは金のためなら何でもする。病院へのハッキングという世間の注目と、徹底的な捜査は、彼らにとって少々手に負えないものだったのかもしれない」
ハッカーたちは攻撃を阻止しようと努力しましたが、被害は既に発生していました。9月11日の早朝に開始された暗号解読プロセスは遅々として進まず、9月20日になっても病院のITシステムへのデータの入出力は不可能でした。メール通信さえも機能していませんでした。これは、影響を受けたデータの量が膨大だったためです。30台のサーバーが破損していました。この侵入により、病院関係者は将来の攻撃に備えるために包括的なセキュリティ調査を実施する必要があり、一部のネットワークは現在も強化作業が続いています。
医学的観点から言えば、ランサムウェア攻撃が被害者の死に、たとえ軽微であったとしても、確かに寄与した可能性はありますが、それだけでは過失致死罪で起訴するために必要な法的因果関係を立証するには不十分です。ルクセンブルク大学法学部の博士研究員であるリサ・アーバン氏によると、ドイツの立証基準では、検察官はランサムウェア攻撃が死に「決定的な役割を果たした」ことを証明する必要があるとのことです。
これは、英国の「but for」テストに相当する基準を用いて判断されます。つまり、ハッキングがなければ、被害者はその朝死亡していなかったということになります。検察側は、死因を攻撃者に法的に帰属させることも困難になるでしょう。これは「考えられないことではない」とアーバン氏は言いますが、被害者が生命を脅かす病気にかかっているような今回の医療事件では、法的根拠を確立することが必ずしも容易ではありません。
医療専門家との協議、検死、そして事件の詳細な分析を含む詳細な調査の結果、ハートマン氏は、被害者が搬送された時点での診断の重症度は、どの病院に入院していたとしても死亡していたであろうほど重篤だったと考えている。「遅延は最終的な結果には全く関係ありません」とハートマン氏は言う。「病状が唯一の死因であり、サイバー攻撃とは全く無関係です。」彼はこれを、運転中に死体をはねることに例える。速度制限を破っていたとしても、死の責任はあなたにはないのだ。
こうした状況から、ハートマン氏は、より伝統的な脅迫やハッキングといった罪状でハッカーたちを追及することになる。しかし、ハッカーたちの多くはロシアに拠点を置いており、当局は歴史的にハッカーの身柄引き渡しを回避してきたため、ハッカーたちの身元を特定し、起訴するのはさらに困難となる。攻撃者が選択したランサムウェア「Doppelpaymer」は、ロシアのグループと関連がある。
しかし、ランサムウェアが直接的な死をもたらすのは時間の問題だとハートマン氏は考えている。「患者の症状が比較的軽度の場合、攻撃は確かに決定的な要因となる可能性があります」と彼は言う。「治療を受けられないことは、救急医療を必要とする人々に深刻な影響を与える可能性があるからです。」 起訴に成功すれば、将来の事件にとって重要な前例となり、検察官が一般的なサイバー犯罪法の枠を超えた捜査ツールを活用できるようになるかもしれない。
「最大のハードルは証明でしょう」とアーバン氏は言う。「検察側が、たとえ数時間でもハッキングによって被害者が早く死亡したことを証明できれば、法的因果関係は成立するでしょう。しかし、これを証明するのは決して容易ではありません。」デュッセルドルフの攻撃では、被害者がもっと長く生きられた可能性を立証することはできなかったが、一般的にハッカーが過失致死罪で有罪判決を受ける可能性は「絶対にあり得る」とアーバン氏は主張する。
因果関係が立証された場合、刑事訴追の対象となるのはハッカーだけにとどまらないとハートマン氏は指摘する。ハッキングに加担したと証明できる者なら誰でも訴追される可能性があると彼は言う。例えばデュッセルドルフの事件では、彼のチームは病院のITスタッフの責任を検討する準備をしていた。例えば、ネットワークをより厳重に監視することで、病院をより効果的に守ることができたのではないか、という疑問が浮かんだ。
懸念をさらに深めているのは、病院に対するサイバー攻撃の脅威の高まりです。昨年、全米で750以上の医療機関がランサムウェアの標的となりました。パンデミック中に悪化した一連の事件により、これらの攻撃はより深刻な問題となっています。
インターポールは4月に警告を発し、その後連邦当局は北米各地で発生したサイバー攻撃を受けて、病院や医療機関に対する「増大し差し迫った」サイバー犯罪の脅威について警告を発しました。人命を危険にさらして金銭をゆすり取ろうとすれば、犠牲者が出るのは当然のことです。ましてや、法執行機関が標的に身代金を支払わないよう働きかけるのであれば、なおさらです。
「米国での攻撃により、ある病院は300人のスタッフを一時解雇せざるを得なくなり、別の病院はコンピューター制御によるがん治療が実施できなくなりました。こうしたインシデントが患者ケアに影響を与えることは避けられません」と、セキュリティ企業Emsisoftの脅威アナリスト兼ランサムウェア専門家であるブレット・キャロウ氏は述べています。「病院が緊急患者を受け入れられない場合、死亡リスクは著しく高まります。」
ハッカーたちが裁きを受けることは決してないかもしれないが、デュッセルドルフでの攻撃は、犯罪者が重要システムを標的とした場合の現実世界の結末を警告するものだ。「個人の自宅のコンピューターを攻撃することと、病院のインフラを攻撃することは全く別物です」とハートマン氏は語る。「これは、重要インフラを運用する人々にとって、インフラの保護を怠れば致命的な結果につながる可能性があるという警告です。また、ハッカー業界に関わるすべての人にとって、ランサムウェアを拡散すれば金銭的な損害以外の何物でもないと期待することはできないという警告です。」
この記事はWIRED UKで最初に公開されました。
