“ダークウェブにしかないから大丈夫”？──病院へのランサムウェア攻撃で広がった発信の意図は　識者に背景を聞いた

　5月19日、岡山県精神科医療センターに対してランサムウェアによるサイバー攻撃が行われ、同センターおよび東古松サンクト診療所の電子カルテを含めた総合情報システムに障害が発生した。これにより、氏名、住所、生年月日、病名を含む患者情報が最大4万人分や、内部で作成した病棟会議の議事録を含む共有フォルダの情報が流出した可能性があると発表があった。

　日本国内ではランサムウェア攻撃の被害数が増大しており、もはや全ての事件が報道されることもないのが実情だ。しかしこの事件が注目を集めたのは、一部報道にて上記漏えい情報が「ダークウェブ」にのみ存在し「一般の人が閲覧できる可能性は極めて低いと考えられています」と伝えられた点にある。

　ダークウェブに情報があるということは、攻撃者など第三者の手に情報が渡ったことを意味する。安全な状態とは遠く、SNSでは「大したことないと思わせたいのか」といった突っ込みもあった。精神医療センターの患者という繊細な情報の漏えいインシデントに対し、上記の発言があったとしたならば、その意図は何なのだろうか。岡山県精神科医療センターの会見にも関わった、一般社団法人ソフトウェア協会の板東直樹フェローに意図を聞いた。

　そもそもダークウェブとは、ChromeやEdge、Safariといった一般的なWebブラウザではアクセスができず、特別なプロトコル／ルーティング技術を使うことができるソフトウェアを用いてしかアクセスできないWebサイトやWebサービスを指す。主なダークウェブ向けブラウザとしては「Tor Browser」などがあり、通常のWebサイトに対しても匿名化ネットワークを経由してアクセスできるようになっている上に、匿名性の高い「.onion」ドメインのWebサイトを閲覧できる。

　岡山県精神科医療センターの件に限らない一般論として、ダークウェブ上のリークサイトは、ランサム攻撃が行われた際、身代金を要求するための脅迫の現場として使われる。リークサイトに盗んだ情報の一部をアップロードし、攻撃者がデータを持っていることをアピールすることで、身代金を要求するのだ。この情報はGoogleなどで検索できる領域（サーフェスウェブ）からはアクセスできない。

　つまりリークサイトは、攻撃者および被害者が情報を流通させ交換する、限定された身代金交渉の場というわけだ。板東氏も、前提として「一般向けに知らしめるためのものではない」と述べる。

　岡山県精神科医療センターの件では、通常のランサム攻撃同様、リークサイト（ダークウェブ）上で情報がやりとりされる。ただし、今回のインシデント報告では攻撃グループやランサムウェアそのものの詳細は発表していない。板東氏も「早々にアクセスできるものではなく、リークサイトを簡単に見つけることはできないというのは、事実としてあるだろう」と見解を述べる。

扱う情報の性質も考慮

　また「一般の人が閲覧できる可能性は極めて低いと考えられています」との報道があった背景には、精神的な病に関する情報が漏えいした恐れがあるという、通常とは異なる事情もあったようだ。

　6月11日に行われた記者会見では、ITに特化したメディアではなく、一般メディアの記者も多かったと板東さん。例えばうつや依存症など、周囲に知られることそのものが病状の悪化につながり得る情報に関する事件として注目度が高く、会見の現場でもそういった情報が一般の目に触れてしまうリスクへの不安が前提としてあったという。

　実際に記者からも漏えい情報の悪用を心配されていたが、悪用可能な情報が広く一般に見える場所にはないという説明により、ひとまずの安堵の空気が流れたと板東さん。その際、どこにデータがあるのかという説明の中で「ダークウェブ」という言葉が出てきたとしている。

　実際、今回流出したデータは医局のカンファレンスの議事録や患者の介護記録などで、電子カルテそのものではなかったため、詳細な本人特定が可能な患者情報は漏れていなかったという。携帯電話番号やメールアドレスなども含まれず、迷惑メールや電話による詐欺などに直接つながる可能性が低いことも分かっていた。

　つまり今回の騒動は、事件を起こした医療センター、説明をした人物、それを受けた記者／メディアのコミュニケーションに齟齬があった結果「（少なくとも当時の時点では）精神の病に関する情報が一般の人の目に触れる可能性は低い」と伝えたい発信側の意図が「ダークウェブにしかないから一般には広がらず、安心」というニュアンスに変わっていったものとみられる。板東氏も「読者に安心してほしい、という思いからそういった表現になったのではないか」と推測する。