NHS England WannaCry ランサムウェア被害

発生日2017-05-12

国・地域GB イギリス

医療機関NHS England（イングランド国民保健サービス）（公立）

原因ランサムウェア

アクター国家支援アクター

深刻度高

信頼度報道

被害データ暗号化診療の停止・縮小システム停止

被害メモ診療停止、予約キャンセル、システム停止

被害額約9,200万ポンド（約135億2,400万円）／英DHSC推計（混乱による逸失約1,900万ポンド＋IT復旧費約7,300万ポンド）。円換算は1ポンド≈147円（2018年）で約135億円。

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2017-05-12 発生
WannaCry が世界規模で拡散。NHS の多数のトラスト・診療所が感染し約1万9000件の予約がキャンセル
2017-10-27 調査・報告
英国会計検査院（NAO）が調査報告書を公表（被害額約9200万ポンドと推計）

攻撃の流れ（MITRE ATT&CK 戦術）

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは？

横展開 TA0008 Windows SMB の脆弱性（EternalBlue）で自己増殖し拡散 T1210

影響（暗号化・破壊） TA0040 未更新の旧OSを中心にファイルを暗号化

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

脆弱性対応サポート切れの旧OSが主要な侵入経路だったため、MicrosoftとDHSCが契約しトラストがWindows 10へ無償で移行できるようにOSを刷新
脆弱性対応 High Severity Alert Process（CareCERTアラート対応）を整備し、重大脆弱性のパッチ適用時間を大幅短縮（BlueKeep対応の18週からDejaBlue対応の3週へ）
監視強化 NHS Security Operations Centre（後のData Security Centre：DSC）を2017年に新設し、NHSネットワークへの脅威の検知・対応と脅威インテリジェンス提供を実施。Secure Boundaryによる境界防御もトラストへ無償提供
体制・規程整備 Data Security and Protection Toolkit（DSPT）を導入し、National Data Guardianの10のデータセキュリティ基準への適合を自己評価で求める。各組織のSIRO（上級情報リスク責任者）がCareCERTアラート対応・パッチ適用を含む基準の遵守に責任を負う
その他 2017年以降、医療分野のサイバーセキュリティに国費を投資（インフラ・監視・対応力の強化）

2017年5月12日、WannaCry ランサムウェアがイングランドおよびスコットランドの NHS を含む世界規模で拡散した。英国会計検査院（NAO）の報告書によれば、イングランドの236の NHS トラストのうち少なくとも80が影響を受け、さらに約595の GP（一般診療所）を含む603の組織が感染した。約1万9000件の予約がキャンセルされ、NHS への被害額は約9200万ポンドと推計された。

攻撃は Microsoft Windows の脆弱性（EternalBlue）を悪用し、サポート切れや更新未適用の旧 OS を中心に拡散した。攻撃は北朝鮮に関連する Lazarus Group に帰属するとの見方が報じられている。パッチ適用とシステム更新の重要性を示す事例。

出典

Lessons learned review of the WannaCry Ransomware Cyber Attack（NHS England）（2018-02-01）
Investigation: WannaCry cyber attack and the NHS — National Audit Office （2017-10-27）
Department of Health and Social Care puts cost of WannaCry to NHS at £92m（Digital Health）（2018-10-11）