ドイツの病院がランサムウェアに感染、初の死亡例/iStock

　ドイツの病院で、コンピューターが乗っ取られ、「ランサムウェア」に感染した。その結果、システムが正常に働かず、搬送中だった患者が死亡する事件が起きた。

　これはサイバー攻撃で直接的に死者が出た世界初の事例で、現在、地元警察は過失致死罪の容疑で犯人の行方を追っているという。
・病院のコンピューターがランサムウェアに感染、身代金を要求

　9月9日の夜、デュッセルドルフ大学病院のコンピューターシステムがサイバー攻撃を受け、ランサムウェアに感染した。

　ランサムウェアとは、マルウェアの一種で、これに感染したコンピューターは、利用者のシステムへのアクセスを制限したり、システムを使用不可にしてしまう。

　この解除と引き換えに、犯人側は身代金（ransom、ランサム）を支払うよう要求することから「ランサムウェア」と名付けられた。

　事実、病院側には　犯人グループからランサムウェアの解除コードと引き換えに、ビットコインによる多額の身代金が要求された。


iStock

・システムダウンにより病院に搬送できなかった女性が死亡

　これに巻き込まれる形になったのが、デュッセルドルフ在住だった女性患者だ。この女性は、すぐにでも治療が必要な危険な状態にあり、本来ならばデュッセルドルフ大学病院に搬送されるはずであった。

　ところがデュッセルドルフ大学病院は、システムがダウンしていたせいで女性を受け入れることができない。

　結局、彼女はそこから30キロ離れたヴッパータールの病院に搬送されることになり、そこへの途中で亡くなった。


iStock

・本来の標的は大学だった

　ハッカー（クラッカー）は警察の関与を知って病院への要求を取り下げたようだ。すでに病院側にランサムウェアの解除コードが引き渡され、現在システムは復旧しているとのこと。

　なおハッカーの本来の標的は病院ではなく、デュッセルドルフ大学であったらしい。

　しかし、系列内の病院もまた大学のネットワークの一部であったために、システムがダウンしてしまったようだ。


・病院側にも過失がある可能性

　ランサムウェア感染と女性の死の因果関係については現在捜査中であるそうだが、もしこれが確認されればサイバー攻撃で人命が失われた初の事例となる。

　ランサムウェアはシトリックス社が開発したVPNソフトウェアの脆弱性を突いたものだった。実はこの脆弱性はよく知られたもので、今年1月の段階で国内のサイバーセキュリティ当局から警告が出されていたとのこと。

　病院側がその事実を把握していたにもかかわらず、何の対応も行っていなかったとすれば、病院に過失が認められる可能性もあるという。

References:zdnet / unilad/ written by hiroching / edited by parumo