半田病院のランサムウェア復旧に学ぶ。原因と対策を報告書から解説
ランサムウェア攻撃による事業停止は、企業のセキュリティ担当者にとって深刻な懸念事項です。特につるぎ町立半田病院の事例は、システム復旧のプロセスとそれに伴う課題を具体的に示しています。ひとたび攻撃を受ければ基幹システムが停止し、事業継続そのものが脅かされる可能性があり、そのリスクは決して他人事ではありません。この記事では、半田病院がランサムウェア攻撃を受けてから通常診療を再開するまでの詳細な経緯と、その背景にあった根本原因、そして企業が学ぶべきセキュリティ対策について解説します。
事件の概要とタイムライン
ランサムウェア感染発覚の経緯
2021年10月31日未明、徳島県のつるぎ町立半田病院において、身代金要求型マルウェア「ランサムウェア」によるサイバー攻撃が発生しました。院内の複数のプリンターから犯行声明文が大量に印刷されたことで、職員が異常を察知し事件が発覚しました。声明文には、データを暗号化した事実と身代金の支払いを要求する旨が記載されており、攻撃者は海外のサイバー犯罪集団とみられています。休日深夜の出来事であったため状況把握は困難を極めましたが、当直スタッフによる迅速な報告が初動対応につながりました。このように、ランサムウェア感染はシステム上の警告だけでなく、物理的な機器の異常動作によって発覚するケースも少なくありません。
被害の全体像と業務への影響
このサイバー攻撃により、病院の電子カルテシステムをはじめとする基幹システムが暗号化され、医療提供体制は事実上機能停止に陥りました。被害は医事会計サーバーや各部門システムにも及び、患者の診療記録や検査結果などを全く参照できない状態となりました。その結果、病院は深刻な業務影響を受けました。
- 新規患者および救急患者の受け入れを全面的に停止
- 予定されていた手術の延期
- 診療記録が参照できないため、診療を紙のカルテを用いた手作業に切り替え
- 過去の病歴や処方薬が確認できず、医療過誤のリスクが増大
この事例は、現代医療がいかにITシステムに依存しており、その機能停止が事業継続の致命的な脅威となるかを明確に示しています。
インシデント対応の主要な時系列
事件発覚から通常診療の完全再開までには、約2か月を要しました。対応は段階的に進められ、その道のりは困難を極めました。
- 2021年10月31日: 感染発覚。直ちに対策本部を設置し、記者会見で事態を公表。
- 11月上旬: 外部への被害拡大を防ぐためネットワークを完全に遮断。診療は紙カルテによる手作業で継続。
- 11月上旬以降: 外部のセキュリティ専門業者に機器を送付し、被害範囲の特定とデータ復旧作業を依頼。
- 11月中旬: 一部の外来診療などを限定的に再開。
- 12月下旬: 電子カルテシステムのデータ復元に成功。全端末の初期化と再設定作業を完了。
- 2022年1月4日: システムが復旧し、約2か月ぶりに通常診療を全面的に再開。
システム復旧までの具体的な道のり
初動対応と被害範囲の特定
インシデント発覚直後、病院は被害拡大を防ぐため、電子カルテシステムが接続された院内ネットワークを物理的に切断するという最優先の初動対応を行いました。しかし、その後の対応過程で、診療業務を優先して一部の端末をスタンドアロン(単独)状態で使用してしまいました。この操作が、マルウェアの感染経路や被害状況に関する重要なデジタル証拠(ログなど)を上書きしてしまう結果となり、後の原因調査を困難にしました。サイバー攻撃の初動対応では、被害拡大の防止と並行して、原因究明に不可欠な証拠保全(機器を一切操作せず現状のまま保存すること)を徹底する冷静な判断が求められます。
外部専門家との連携体制構築
病院単独での対応は不可能と判断し、直ちにサイバーセキュリティを専門とする外部業者との連携体制を構築しました。暗号化されたデータの解析や復旧作業は、この専門業者へ委託されました。一方で、既存のシステム保守を担っていたベンダーはセキュリティインシデント対応の専門家ではなかったため、調査や復旧方針をめぐり見解の相違が生じる場面もありました。このため、病院は特定の業者だけでなく、外部の有識者や関係省庁とも情報を共有し、多角的な助言を得ながら最終的な方針を決定しました。この事例は、平時からインシデント対応に特化した専門家との協力関係を築いておくことの重要性を示しています。
システムの段階的な再構築手順
システムの再構築は、ネットワーク内にマルウェアが潜伏しているリスクを完全に排除するため、感染した全ての機器を初期化し、ゼロから安全な環境を構築する手順で行われました。単純に元の状態に戻すのではなく、将来の攻撃を防ぐための改善策を盛り込んだプロセスとなりました。
- 院内にあった約200台のクライアント端末と数十台のサーバー群をすべて完全に初期化。
- OS(オペレーティングシステム)を再インストールし、業務に必要な各種ソフトウェアを手作業で一つずつ再設定。
- ネットワーク構成そのものを見直し、外部からの不要なアクセスを遮断できるようセキュリティ設定を大幅に強化。
バックアップからのデータ復旧
データの復旧において最大の障壁となったのは、本番システムと常時接続されていたバックアップデータまでもが、同時にランサムウェアによって暗号化されていたことです。幸い、ネットワークから物理的に切り離されたオフライン環境に2018年以前の古いデータが保管されており、これは無事でした。最終的には、外部の専門業者が高度な技術を用いて暗号化されたデータの復元に成功し、電子カルテの記録を取り戻すことができましたが、この経験はバックアップ戦略の重要性を浮き彫りにしました。重要なデータは、本番環境から物理的または論理的に完全に隔離して保管するオフラインバックアップが不可欠です。
復旧費用の内訳と予算確保の課題
システムの復旧と再構築には、約2億円という巨額の費用が発生し、公立病院の財政に大きな打撃を与えました。これに加え、約2か月間の診療制限による数千万円規模の減収も発生したと報告されています。地方の公立病院ではIT関連予算が限られていることが多く、このような突発的な支出への対応は極めて困難です。
- フォレンジック調査費用: 攻撃経路や被害範囲を特定するためのデジタル鑑識調査の費用。
- データ復元作業費: 暗号化されたデータを復号するための専門業者への支払い。
- システム再構築費: 安全な環境を再構築するための新しい機器の購入や設定作業の費用。
サイバー攻撃による経済的損失は、事前のセキュリティ対策投資をはるかに上回ることを示しており、経営リスクとして適切な予算を確保する必要性を物語っています。
報告書が指摘する根本原因
侵入経路となったVPN機器の脆弱性
事件後の調査報告書は、外部から院内システムへ安全に接続するために設置されていたVPN(仮想専用線)機器の脆弱性が、攻撃者の最初の侵入経路になった可能性が極めて高いと結論付けています。この機器は、システム保守業者が遠隔でメンテナンスを行うために利用されていましたが、製造元が数年前に公表していたソフトウェアの欠陥を修正する更新プログラムが適用されていませんでした。攻撃者はこの放置された脆弱性を悪用し、内部ネットワークへの侵入を果たしたのです。インターネットに接続される機器の脆弱性を放置することは、組織への扉を開け放していることに等しく、常に最新の状態に保つ管理が不可欠です。
ID・パスワード管理の不備
一度ネットワークへの侵入を許した攻撃者が、被害をシステム全体へ容易に拡大できた背景には、ずさんな認証情報の管理体制がありました。
- 推測容易なパスワード: 短く単純な文字列がパスワードとして設定されていた。
- パスワードの使い回し: 複数のサーバーや端末で同じパスワードが流用されていた。
- 過剰なアクセス権限: 利用者に不必要に高い権限が付与されており、内部での活動を容易にした。
- 多要素認証の未導入: IDとパスワードのみでログイン可能で、追加の認証手段がなかった。
これらの管理不備が重なり、攻撃者は一つの認証情報を突破口に、システム全体の管理者権限を奪取することができました。
保守委託先との役割分担の曖昧さ
システムの保守を委託していた複数の外部業者と病院との間で、セキュリティ管理に関する責任範囲が曖昧であったことも、被害を深刻化させた一因です。電子カルテのソフトウェアを提供するベンダーと、サーバーなどのインフラを管理するベンダーが異なっており、互いにセキュリティ対策の責任は相手側にあると認識していました。この「責任の空白地帯」が生まれた結果、VPN機器の更新やウイルス対策ソフトの適切な運用といった基本的な防御策が誰にも実行されず、放置されていました。システム保守を外部委託する際は、契約書でセキュリティ上の役割分担を明確に定め、その実施状況を定期的に確認する体制が不可欠です。
「ひとり情シス」体制とベンダー依存が招いたリスク
専門的なIT知識を持つ担当者が1名のみという、いわゆる「ひとり情シス」体制であったことも根本的な課題として指摘されました。人員不足から、病院側はシステムベンダーの提案を十分に吟味できず、「外部から接続しない閉域網だから安全だ」といった説明を信じ込んでいました。また、少人数体制では日々のトラブル対応に追われ、最新のサイバー脅威に関する情報を収集し、予防的な対策を講じる余裕がありませんでした。組織の基幹インフラを特定個人に依存させることは重大な経営リスクであり、経営層が主体的に関与し、適切な人員と予算を確保することが求められます。
事例から学ぶ企業のセキュリティ対策
事業継続計画(BCP)の再評価
この事例は、サイバー攻撃によるシステム停止を、地震や火災といった自然災害と同等の重大な経営危機と位置づけ、事業継続計画(BCP)を見直す必要性を示しています。従来のBCPの多くは物理的な災害を想定しており、長期間にわたるシステム障害やデータ消失といった事態への備えが十分ではありません。半田病院では災害用BCPを応用して対策本部を迅速に立ち上げましたが、サイバー攻撃特有の復旧手順や証拠保全の観点では課題が残りました。システム停止を前提とし、業務を手作業でどう継続するか、どの順番でシステムを復旧させるかなど、サイバーインシデントに特化した具体的なシナリオをBCPに組み込むことが急務です。
実用的なバックアップ戦略の構築
ランサムウェア攻撃から確実に事業を復旧させるためには、本番システムから完全に独立した、実用的なバックアップ戦略が不可欠です。攻撃者は本番データと同時に、ネットワーク経由でアクセスできるバックアップデータも破壊の標的とします。そのため、以下の対策を組み合わせた多層的な防御が求められます。
- オフライン保管: バックアップ媒体をネットワークから物理的に切り離して保管する。
- イミュータブル(不変)ストレージの活用: 一定期間、データの変更や削除ができない設定でバックアップを保管する。
- 定期的な復旧テスト: 取得したバックアップデータから実際にシステムを復元できるかを確認する訓練を行う。
定期的な復旧訓練の重要性
文書として策定されたBCPや復旧手順が、有事の際に本当に機能するかを検証するため、定期的な訓練の実施が極めて重要です。訓練では「基幹サーバーがランサムウェアに暗号化された」といった具体的なシナリオを設定し、経営層による意思決定、現場部門による代替業務への移行、IT部門による復旧作業、外部専門家への連絡などを実践的に確認します。訓練を通じて明らかになった課題や手順の不備を洗い出し、BCPを継続的に改善していくプロセスが、組織全体の対応能力を高めます。
委託先を含めたリスク管理体制
システムの構築や保守を外部に委託している場合、自社だけでなく委託先も含めたサプライチェーン全体のリスク管理が不可欠です。自社の対策が強固でも、セキュリティ対策が手薄な委託先が侵入の足がかり(踏み台)にされる危険性があります。委託先を選定・契約する際には、遵守すべきセキュリティ基準を契約書に明記し、運用開始後もその遵守状況を定期的に報告させる、あるいは監査する仕組みを構築する必要があります。外部の専門知識を活用しつつも、自社のシステムを守る最終的な責任は発注元である自社にある、という主体的な姿勢が求められます。
よくある質問
身代金の支払いはどうなったか?
病院は、攻撃者集団に対する身代金の支払いを一切行わないという方針を貫きました。ただし、事後の調査報告書では、病院がデータ復旧を依頼した外部業者が、暗号を解除する「復号キー」を入手するために、独自の判断で攻撃者側へ支払いを行った可能性が強く示唆されています。
完全復旧までの期間はどのくらいか?
2021年10月31日の感染発覚から、電子カルテシステムが完全に再稼働して通常診療が再開された2022年1月4日まで、約2か月強の期間を要しました。この間、システムの完全な初期化や安全な環境の再構築、紙カルテから電子カルテへのデータ再入力など、膨大な作業が行われました。
対応費用は公開されているか?
システムの復旧・再構築にかかった直接的な費用として約2億円、それに加えて診療制限に伴う減収が数千万円規模に達したと公表されています。費用には、原因を特定するフォレンジック調査や、暗号化されたデータの復元作業などが含まれています。
電子カルテ停止中の診療体制は?
電子カルテが利用できない間、診療はすべて紙のカルテを用いた手作業で行われました。過去の診療履歴を参照できないため、患者一人ひとりから詳細な聞き取りを行う必要がありました。また、医療の安全を確保するため、救急や新規患者の受け入れを一時的に停止し、緊急性の高い入院患者や予約患者の対応を優先する措置が取られました。
まとめ:半田病院の事例から学ぶ、ランサムウェア攻撃への実践的対策
つるぎ町立半田病院の事例は、VPN機器の脆弱性放置やパスワード管理の不備といった基本的なセキュリティ対策の欠如が、いかに深刻なシステム停止と事業への打撃をもたらすかを明確に示しました。この事例から得られる教訓は、サイバー攻撃を自然災害と同等の経営リスクと捉え、技術的対策と並行して、インシデント発生を前提とした事業継続計画(BCP)を策定・訓練しておくことの重要性です。まずは自社の体制において、VPN機器の管理状況、オフラインバックアップの有無と復旧テストの実施状況、そして保守委託先との責任分界点が明確かを確認することが急務となります。万が一インシデントが発生した際には、被害拡大防止と同時に証拠保全を意識した冷静な初動対応が、その後の復旧と原因究明を大きく左右することを認識しておくべきです。本記事で解説した内容はあくまで一事例であり、具体的な対策の導入や有事の際の対応については、必ずサイバーセキュリティの専門家へご相談ください。

