身代金を払わない場合、患者の個人情報はどうなるのか
身代金を払わず、復号鍵を入手することがないであろう大阪急性期・総合医療センターは、復旧にも長い時間が必要になるかもしれず、さらなるコストがかかる可能性もある。
そして、もう1つ懸念されるのが、患者の個人情報の流出だ。近年のランサムウェア攻撃では、コンピュータやシステムを暗号化するだけでなく、同時に内部のデータを窃取しておいて、身代金が支払われない場合に「奪ったデータを公開する」と二重の脅しをかけてくる。「二重脅迫」と呼ばれている手口だ。
仮に、身代金を払わない方針のままでいけば、攻撃者から二重の脅迫がくる可能性もある。身代金を払わないと、カルテの個人情報を売却する、または暴露する、と脅されることも懸念される。
筆者による「Lockbit3.0」などへの取材によれば、有名なランサムウェア犯罪グループの多くは「病院などの医療機関」「学校などの教育機関」にサイバー攻撃をしないポリシーを持っている。ランサムウェア犯罪グループは、現実には犯罪「ビジネス」を行っているため、そこには信用がないと成り立たない。
特に身代金を払ってシステムを復旧するという行為には、きちんと元通りにしてくれるという信用は欠かせない。それがなければ、被害者も身代金を払うのに躊躇(ちゅうちょ)するだろう。
