【ランサムウェア事件簿#6】Change Healthcare──米国の"医療の心臓"が止まった日

世界各国のよく知られたランサムウェア被害事案について、日本企業が学ぶべき事項が多々ある"教材"として、ランサムウェア・ナレッジベースとしては世界トップレベルにあるChatGPT 5に書かせています。本シリーズの過去投稿は以下のカテゴリーにまとめました。

「ランサムウェア事件簿」カテゴリーの投稿

2024年2月21日。
米国の医療保険システムの中核企業 Change Healthcare（UnitedHealth Group傘下） が、
サイバー犯罪組織 ALPHV（BlackCat） のランサムウェア攻撃を受けました。

この瞬間、全米の薬局と病院の"決済システム"が停止しました。
患者は薬を受け取れず、病院は保険請求を送れず、
米国医療の"血液"である請求データの流れが途絶えたのです。

1. Change Healthcareとは何か

Change Healthcareは、米国医療の「バックオフィス」を支える企業です。

• 取引病院：全米約6万機関

• 薬局：7万件超

• 処理する請求データ：年間150億件

• 医療費決済額：約2兆ドル（GDPの約8%）

つまり、ここが止まるということは、
「アメリカ全体の医療保険システムが麻痺する」ことを意味します。

2. 攻撃の実態──ALPHVが突いた"シングルポイント"

攻撃を実行したのは、ロシア語圏のランサムウェア組織 ALPHV（別名BlackCat）。
標的となったのは、Change Healthcareの VPN経由のCitrix環境 でした。

米CISA（サイバーセキュリティ庁）の報告によると、
ALPHVはCitrixのゼロデイ脆弱性（CVE-2023-4966, "CitrixBleed"）を悪用して侵入。
その後、Active Directory権限を奪取し、
内部のVMware仮想基盤とバックアップシステムを暗号化しました。

たった一つのVPN認証突破が、医療国家システム全体の停止を引き起こしたのです。

3. 全米の混乱──薬が買えない、請求できない

攻撃の影響は即座に波及しました。

• 全国のCVS、Walgreens、Walmartなど主要薬局が保険処理不能に

• 病院は患者請求データを送信できず、収入ゼロに

• 保険会社は請求を処理できず、支払い遅延

• 医師・薬剤師は「現金支払いか、処方延期」

米国の医療機関の約4分の1が資金繰りに苦しみ、
一部の地方病院では給与未払いの危機にまで発展しました。

「これはハッカーによる9.11だ」
と、米国医療協会（AMA）の幹部が語ったほどの衝撃でした。

4. 交渉と支払い──「2,200万ドルの現実主義」

ALPHVは攻撃直後、60TBの機密医療データを盗み出し、

「7日以内に2,200万ドル支払え。さもなくば全患者データを公開する」
と脅迫しました。

UnitedHealth Group（親会社）は数週間沈黙を保ちましたが、
最終的に2,200万ドル（約35億円）を支払ったと報じられています（Wired, Reuters）。

しかしその直後、ALPHV内部で報酬配分を巡る内紛が起こり、
犯行データの一部が公開。
犯人側の混乱がさらなる混迷を招きました。

5. 復旧と再構築──「医療インフラ再設計」

復旧には約1か月を要しました。
Change Healthcareは、クラウド環境を全面再構築し、
データ処理を再稼働させました。

並行して：

• 米CISA・FBI・NSAが合同調査チームを設置

• Microsoft、Mandiant（Google）、CrowdStrikeがフォレンジックに参加

• 脆弱性の修正とゼロトラスト再設計を実施

特筆すべきは、復旧よりも「社会的補償」が先に動いたことです。
UnitedHealthは、資金難の病院・診療所に 総額約30億ドルのつなぎ融資 を実施。
"患者を守るための経済的防御" に踏み出しました。

6. 結論：「支払いで時間を買った」米国の現実

Change Healthcareは、支払いを選び、事業を再開しました。
その決断は批判されましたが、数百万人の命を守るための時間稼ぎでもありました。

「倫理ではなく、現実を選んだ」
この一言に、現代ランサムウェア時代の真実が凝縮されています。

医療・電力・通信など、国民生活を支えるインフラ企業にとって、
"止めない設計"こそが最大のセキュリティであると言えるでしょう。