米国インフラを狙った“過去最悪の攻撃” Change Healthcareを襲った悪夢：Cybersecurity Dive

ランサムウェアグループALPHVは法執行機関による摘発の後、すぐに復活し、米国のインフラを標的にした攻撃の中でも過去最悪の攻撃を実行した。医療業界を揺るがすこの攻撃の影響とは。

[Matt Kapko，Cybersecurity Dive]

　ヘルスケアテクノロジー企業Change Healthcareがサイバー攻撃から回復するための努力を続けているように、ランサムウェアグループが重要インフラに与えるダメージは、ヘルスケア業界全体に影響を及ぼしている。

　Change Healthcareの親会社であるUnitedHealth Groupによると、2024年2月21日（現地時間、以下同）にランサムウェアグループ「ALPHV」に侵入されて以来（注1）、病院や薬局と保険企業をつなぐ同社のヘルスケアITプラットフォームはほとんど稼働していない。UnitedHealth Groupは2022年後半に130億ドルで同社を買収していた。

米国のインフラを狙った攻撃としては「これまでで“最悪”」

　サイバーセキュリティ事業を営むEmsisoftのブレット・カロウ氏（脅威アナリスト）は「本件は、米国のインフラに対する攻撃として、これまでで最悪のものだろう。これは医療システム全体に影響を与える。ほとんどのインシデントが局地的なものであるのに対し、これは国家的な問題だ」とコメントした。

　Change Healthcareのシステムダウンによって、医療提供者は患者の保険加入の確認や請求の処理、費用の見積もり、一部の支払者からの支払いを受けられない状態に陥っている。

　Change Healthcareは依然として復旧作業を続けており、同社の広報担当者によると、2024年3月1日に顧客向けに電子処方箋サービス「Rx ePrescribing」の新たなインスタンスを立ち上げ、有効化した。しかし同社の医療提供者向けの電子処方箋ソフトウェア「Clinical Exchange ePrescribe」はまだ稼働を再開していないという。

　UnitedHealth Groupは2024年3月1日に情報を更新し（注2）、「当社の専門家がこの問題に対処しており、法執行機関や主要な第三者コンサルタントであるMandiantおよびPalo Alto Networksと協力して、Change Healthcareのシステムへの攻撃に対処している」と述べた。

　ニュースメディアの『Politico』が2024年3月3日に報じたところによると（注3）、業界全体が2週間にわたって混乱する中、ホワイトハウスは国家安全保障会議において、請求を処理できなかった病院に財政的な支援を提供する方法を検討しているようだ。

　米国病院協会のリック・ポラック氏（会長兼CEO）は、今回のサイバー攻撃について「米国の医療機関に対するこの種のサイバー攻撃としては最も深刻な事件である」と話した。

　ポラック氏は2024年2月29日の声明で（注4）「Change Healthcareは年間150億件の医療取引を処理し、患者記録の3人に1人に関わっている」と述べている。

Change Healthcareを攻撃した悪名高いランサムウェアグループALPHV

　ランサムウェア攻撃が多発する医療業界において、Change Healthcareに対する攻撃による惨状は特に顕著なものだった。カロウ氏によると、2024年に入り、少なくとも5つのシステムおよび49の病院がランサムウェア攻撃の影響を受けているという。

　2023年12月の法執行機関の行動によって、ALPHVのインフラが閉鎖された後に（注5）、今回の事件でこのグループの関与が判明した点は特に不愉快だ。このグループは「BlackCat」という別名でも知られている。

　摘発後、ALPHVは数時間以内に再出現し（注6）、その後も活動を続け、新たなターゲットに対する脅迫を実行している。

　米国連邦捜査局（FBI）は2024年3月1日に「Change Healthcareに影響を及ぼしている現在進行中の事件を認識しており、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）や保健福祉省、支援を提供しているその他のパートナーと協力している」とコメントした。一方で、FBIはALPHVについてコメントしなかった。

　ALPHVは、その影響範囲の広さ、著名な被害者、そして2023年9月の時点で約3億ドルの身代金を受け取っている点で悪名を高めている。FBIとCISAによると、ALPHVは世界で2番目に活発なランサムウェアグループだ。

　この分野で最も活発なグループウェアは「LockBit」である。同グループは、法執行機関の世界的な取り締まりによりインフラが解体された後、数日以内に運営を再開している（注7）（注8）。

法執行機関による取り締まりは無意味なのか？

　脅威リサーチャーが観察して共有した活動によると、ALPHVは、初回攻撃の1週間後にChange Healthcareをリークサイトに掲載し、「業界内の複数の著名なパートナーに影響を与える6TB以上のデータを盗んだ」と主張した。

　UnitedHealth Groupは、ALPHVがどのようにしてChange Healthcareのシステムに侵入したのか、同グループが身代金の支払いを要求したのか、どのように対応するつもりなのか、といった質問には答えなかった。同社は「2024年2月21日に自社のシステムで不正な活動を検出した」と答えた。

　ALPHVは、ヘルスケア業界全体で広く使用されている技術ベンダーを攻撃したため、Change Healthcareに対する攻撃の影響はより深刻である。ファイル転送サービス「MOVEit Transfer」に対して2023年に実行されたエクスプロイトの乱発と同様に（注9）、最初の侵入によって可能になった連鎖的な攻撃はさらに大きな被害をもたらすだろう。

　「このような無名の組織を排除することは大きな影響を与える」（カロウ氏）

　しかしサイバーセキュリティの専門家によると、ALPHVに対する最近の妨害工作は無意味なものではなかった。

　Sophos X-Ops Threat Researchのクリストファー・バッド氏（ディレクター）は「法執行機関の行動は、犯罪者とその活動に関する情報を収集し、対策を強化するために使用される」と話した。

　「犯罪者たちは必ずチームを再編成する。それは分かっているし、予期もしている。1つの作戦でこの問題を解決するのは困難だ。従来の犯罪と同様の視点を持ってサイバー犯罪者を把握することが重要だ」（バッド氏）

　カロウ氏によると、法執行機関による妨害は攻撃の進行を遅らせるのに役立つが、ランサムウェアの活動を止めるためには不十分だという。

　Change Healthcareに対するALPHVの攻撃と、法執行機関による摘発を受けても攻撃を止めない姿勢、攻撃を完遂する能力は、カロウ氏の発言の裏付けとなっている。

　「これまでの対策は十分ではない。ランサムウェアの問題はかつてないほど悪化しており、新たな取り組みの必要性を強く感じている」（カロウ氏）

（注1）UNITEDHEALTH GROUP INCORPORATED（SEC）
（注2）Information on the Change Healthcare Cyber Response（UNITEDHEALTH GROUP）
（注3）Biden weighs financial support for hospitals affected by health care hack （POLITICOPRO）
（注4）Supporting Hospitals and Patients After Cyberattack on Change Healthcare（American Hospital Association）
（注5）US leads AlphV ransomware infrastructure takedown（Cybersecurity Dive）
（注6）Notorious ransomware group tussles with law enforcement, regenerates after takedown（Cybersecurity Dive）
（注7）LockBit group revives operations after takedown（Cybersecurity Dive）
（注8）LockBit operations dismantled following international takedown（Cybersecurity Dive）
（注9）Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）

原文へのリンク