情報セキュリティ庁によると、デュッセルドルフ大学病院への身代金要求型ウイルス攻撃は、VPN(Virtual Private Network、仮想専用線)ソフトウェアの脆弱性を突いたものだった。VPNは、外部から社内のネットワークに安全にアクセスするために通信を暗号化し、やりとりする情報が盗み見される危険性を回避するのに使われる。
このソフトウェアの脆弱性の存在は2019年12月に発表され、脆弱性を解消するための修正プログラムが翌月の2020年1月に出た。
デュッセルドルフ大学病院は、修正プログラムが出てすぐにVPNの脆弱性を直したとしている。また、同大学病院はこの数カ月の間にITネットワークの脆弱性検査を独自に行なったが、侵入の形跡は見つからなかったという。
情報セキュリティ庁は、脆弱性を突いたサイバー攻撃が修正プログラムが適用される前に行われ、サイバー攻撃者がいまだにITネットワークに侵入可能な状態になっていたのではないかと考えている。
昨年の10月に連邦政府から出ていた警告
実は、デュッセルドルフのあるノルトライン=ヴェストファーレン州の南隣に位置するラインラント=プファルツ州とザールラント州でも、2019年7月に複数の病院で身代金要求型ウイルス攻撃による被害が出ていた。
事態を重くみた情報セキュリティ庁長官は、2019年10月ノルトライン=ヴェストファーレン州の厚生長官に書簡を送り、ドイツ国内の病院へのサイバー攻撃の脅威が増していると警告した。そして、ノルトライン=ヴェストファーレン州の病院のサイバーセキュリティを早急に強化する必要性を指摘し、支援を申し出た。
ところが、アメリカのビジネスニュースサイト「ビジネスインサイダー」によると、2020年9月18日現在、厚生長官からは音沙汰がないとのことである。
次ページが続きます:
【タイの病院でも感染】
