事業運営

診療停止を招くランサムウェア攻撃|病院の被害事例と復旧までの実務

経営リスクナビ編集部

病院を狙ったランサムウェア攻撃は、診療停止という深刻な事態を引き起こし、地域医療全体を脅かす重大なリスクです。具体的な被害事例やその原因を知らずに対策が不十分なままだと、自院も同様の危機に直面する可能性があります。この記事では、国内病院のランサムウェア被害事例を分析し、そこから学ぶべき具体的な予防策と、万が一感染した場合の初動対応から復旧プロセスまでを詳しく解説します。

なぜ医療機関が標的になるのか

業務停止が許されない脆弱性

医療機関は、患者の生命を直接預かるという社会的責務から、24時間365日のシステム連続稼働が絶対的な前提となります。電子カルテや検査システムといった基幹業務システムが停止すれば、手術の延期や救急患者の受け入れ停止など、即座に地域医療の崩壊に繋がりかねません。サイバー攻撃者は、この「業務停止が許されない」という構造的な脆弱性を熟知しています。システムを意図的に機能不全に陥らせることで、一刻も早い復旧を迫られる医療機関側は、他の業種に比べて身代金(ランサム)の支払いに応じやすいと見なされ、標的とされやすいのです。

価値の高い個人情報・医療情報の保有

病院は、一般的な個人情報に加えて、極めて機微で秘匿性の高い医療情報を大量に保有しています。これらの情報は非合法な市場(ダークウェブなど)において高値で取引されるため、攻撃者にとって金銭的価値が非常に高い魅力的な標的です。近年のランサムウェア攻撃では、データを暗号化するだけでなく、事前に情報を窃取し「身代金を支払わなければ情報を公開する」と脅迫する二重恐喝(Double Extortion)が主流です。医療情報が流出すれば、患者のプライバシー侵害はもちろん、医療機関の管理責任が問われ、莫大な損害賠償や行政処分に発展するリスクがあります。

医療機関が保有する機微情報の例
  • 氏名、住所、連絡先などの基本情報
  • 病歴、手術歴、投薬記録、アレルギー情報
  • 血液検査や画像診断などの各種検査結果
  • 健康保険証の番号や記号
  • 診療費支払いのためのクレジットカード情報

セキュリティ投資の優先度の低さ

医療現場では、予算配分において人命に直結する最新の医療機器や医薬品への投資が最優先される傾向にあります。その結果、直接的な利益に結びつきにくいサイバーセキュリティ対策への投資や、専門人材の確保が後回しにされがちです。特に中小規模の病院では、情報システム部門に専任の担当者が不足しているケースが多く、日常的なトラブル対応に追われ、脆弱性管理やログ監視といった予防的なセキュリティ対策まで手が回らないのが実情です。このようなリソース不足や、経営層におけるサイバーリスクへの認識の甘さが、攻撃者にとって格好の侵入機会となっています。

更新困難な医療機器・システムの存在

電子カルテシステムやCT、MRIといった大型医療機器は、導入費用が非常に高額です。また、他のシステムとの連携やメーカーの動作保証の問題から、OSのアップデートやセキュリティパッチの適用を自由に行うことが難しいという特性があります。そのため、サポートが終了した古いOS(レガシーOS)や、既知の脆弱性が放置されたシステムが院内ネットワークに接続されたまま運用されているケースが少なくありません。攻撃者は、このような対策が手薄な古いシステムを突破口として内部ネットワークへの侵入を試みるため、システムの硬直性が防御力を著しく低下させる一因となっています。

国内病院のランサムウェア被害事例

事例1:VPN機器の脆弱性を突かれたケース

徳島県の町立病院で発生した事例では、外部から院内ネットワークに安全に接続するために設置されていたVPN(仮想プライベートネットワーク)機器の脆弱性が悪用されました。この病院では、メーカーから提供されていたセキュリティ更新プログラム(パッチ)を適用しないままVPN機器を運用していました。攻撃者はこの脆弱性を突いて内部へ侵入し、電子カルテを含むサーバー群のデータを暗号化しました。深夜に院内のプリンターから犯行声明文が大量印刷される事態で被害が発覚し、結果的に約2ヶ月間にわたり通常診療がほぼ停止する深刻な影響が出ました。

事例2:リモート保守回線からの侵入

大阪府の総合医療センターの事例は、自院の直接的な脆弱性ではなく、取引先が侵入の踏み台とされたサプライチェーン攻撃の典型です。攻撃者は、給食業務を委託していた事業者のネットワークにまず侵入しました。そして、その委託事業者が病院のシステムを遠隔で保守するために利用していたリモート保守用の回線を経由して、病院の基幹システムへと侵入範囲を拡大しました。結果、電子カルテをはじめとする広範囲のシステムが暗号化されました。この事例は、自組織のセキュリティを強化するだけでは不十分で、取引先を含めたサプライチェーン全体での対策が不可欠であることを示しています。

各事例で発生した共通の被害内容

国内の被害事例では、システム的な被害だけでなく、医療提供体制そのものに深刻な影響が及んでいます。特に共通して見られる被害は以下の通りです。

ランサムウェア被害における共通の被害内容
  • 診療体制の崩壊: 電子カルテが停止し、過去の診療記録を参照できない手書きの紙カルテ運用へ移行。医療過誤のリスクが増大し、現場が極度に混乱する。
  • 地域医療への影響: 新規患者や救急車の受け入れを長期間停止せざるを得なくなり、地域全体の医療提供体制に深刻な打撃を与える。
  • 二重恐喝による情報漏洩: システムが暗号化されるだけでなく、患者や職員の個人情報が窃取される。これにより、事後の通知や問い合わせ対応に膨大な労力が必要となる。

復旧までにかかる期間と費用の実態

ランサムウェア被害からの完全復旧には、数ヶ月から半年以上の期間を要することが一般的です。警察庁の調査報告によれば、約半数のケースで復旧に1ヶ月以上かかっています。費用面では、システムの再構築や専門家による調査費用だけでなく、診療停止に伴う逸失利益を含めると、被害総額が数億円から十数億円規模に達する事例も少なくありません。

復旧にかかる費用の主な内訳
  • 技術的復旧費用: サーバーや端末の初期化、クリーンな環境でのシステム再構築、新規機材の購入などにかかる費用。
  • フォレンジック調査費用: 侵入経路や被害範囲を特定するために、外部の専門機関へ依頼する証拠保全・解析費用。
  • 逸失利益: 診療の縮小や停止によって失われた、本来得られるはずだった医業収益。
  • 事後対応費用: 患者や関係者への通知、専用問い合わせ窓口の設置、弁護士への相談費用など。

病院が講じるべきランサムウェア予防策

定期的なバックアップと復旧テスト

バックアップは、ランサムウェア対策の最後の砦です。攻撃者は本番データと同時にバックアップデータも暗号化しようとするため、バックアップは本番環境のネットワークから物理的または論理的に完全に切り離したオフライン環境に保管することが極めて重要です。また、「バックアップがあるから大丈夫」と過信せず、取得したデータから実際にシステムを復元できるかを確認する復旧テストを定期的に実施し、いざという時に確実に対応できる手順を確立しておく必要があります。

VPN等リモート接続機器の脆弱性管理

インターネットとの境界に設置されるVPN機器は、攻撃者にとって主要な侵入口となります。これらの機器の脆弱性を放置しないよう、厳格な管理体制を構築することが不可欠です。

リモート接続機器の脆弱性管理策
  • メーカーから提供されるセキュリティパッチを速やかに適用する。
  • 機器のソフトウェア(ファームウェア)を常に最新の状態に維持する。
  • 機器の管理画面をインターネット上に不必要に公開しない設定にする。
  • 業務上使用していない通信ポートやサービスを無効化し、攻撃対象領域を最小化する。

診療系と事務系のネットワーク分離

万が一、いずれかの端末がマルウェアに感染しても被害を限定的にするため、ネットワークを分割管理することが有効です。特に、機密性の高い電子カルテなどを扱う診療系ネットワークと、インターネット接続やメール利用が中心の事務系ネットワークを物理的または論理的に分離します。これにより、仮に事務系端末がフィッシングメールで感染しても、マルウェアが重要な診療系システムへ直接広がる(横展開する)のを防ぎ、被害の深刻化を食い止めることができます。

アカウント権限の最小化と監視

システム管理者などの広範な権限を持つ特権アカウントが乗っ取られると、被害は組織全体に及びます。そのため、各職員のアカウントには、担当業務に必要な最小限のアクセス権限のみを付与する「最小権限の原則」を徹底します。また、リモートアクセスを含む全てのシステムログイン時に多要素認証(MFA)を必須とし、不正なアクセス試行を検知できるよう、ログイン履歴などのログを常時監視する体制を整えることが重要です。退職者のアカウントは速やかに削除し、安易な共有アカウントの利用は避けるべきです。

職員へのセキュリティ教育の徹底

どれだけ強固なシステムを導入しても、それを利用する職員のセキュリティ意識が低ければ、そこが侵入の突破口となります。「不審なメールの添付ファイルやURLを開かない」「私物のUSBメモリを業務用PCに接続しない」といった基本的なルールを、繰り返し教育することが重要です。一方的な座学だけでなく、標的型攻撃メールの模擬訓練などを通じて、実践的な対応力とインシデント発生時に速やかに情報システム部門へ報告する文化を醸成する継続的な取り組みが求められます。

保守ベンダーとの契約で見直すべきセキュリティ要件

システムの保守を外部ベンダーに委託している場合、そのベンダーを経由して侵入されるサプライチェーンリスクに備える必要があります。委託先との契約内容を精査し、セキュリティ要件を明確に定めることが急務です。

保守ベンダーとの契約におけるセキュリティ要件例
  • リモート保守で接続する際の多要素認証を義務付ける。
  • ベンダーが使用する保守用端末に求めるセキュリティ基準を定義する。
  • 脆弱性が発見された際のセキュリティパッチ適用に関する責任と期限を定める。
  • セキュリティインシデント発生時の報告義務と責任分界点を明確にする。

感染発覚後の初動対応と復旧プロセス

ステップ1:感染端末のネットワーク隔離

ランサムウェアの感染が疑われる端末を発見した場合、最初の行動は、マルウェアの拡散を防ぐためのネットワークからの隔離です。具体的には、該当端末のLANケーブルを抜き、Wi-Fiを無効化します。この迅速な初期対応が、他のサーバーや医療機器への被害拡大を食い止める最も重要な措置となります。被害を最小化するため、パニックにならず、あらかじめ定められた手順に従って冷静かつ迅速に通信を遮断することが求められます。

ステップ2:関係各所への迅速な報告

感染端末の隔離と並行して、院内の関係各所へ状況を迅速に報告し、組織的な対応体制を構築します。現場担当者の判断だけで対処しようとせず、速やかに情報システム部門および経営層へ連絡し、インシデント対策本部を立ち上げます。同時に、被害状況に応じて、所轄の警察、個人情報保護委員会、厚生労働省などの監督官庁といった外部機関へも通報・報告を行います。初期段階から専門家の助言を得ることで、その後の対応を適切に進めることができます。

ステップ3:被害範囲の特定と証拠保全

次に、どのシステムがどの範囲まで影響を受けているかを正確に把握します。この際、後の原因究明(フォレンジック調査)のために、証拠を保全することが極めて重要です。感染した端末の電源をむやみにシャットダウンしたり再起動したりすると、メモリ上に残っていた攻撃の痕跡が消えてしまう可能性があります。原則として端末の電源は落とさず、専門家が調査を開始するまで現状を維持し、侵入経路や被害実態を解明するためのデジタル証拠を確保します。

平時から策定すべきIT-BCPの要点

地震などの自然災害と同様に、サイバー攻撃によるシステム停止を想定したIT事業継続計画(IT-BCP)を平時から策定し、訓練しておくことが不可欠です。IT-BCPには、電子カルテが利用不能になった際の紙カルテによる代替運用フローや、部門間の情報伝達方法、復旧させるシステムの優先順位などを具体的に定めます。計画を文書化するだけでなく、定期的に机上訓練や実践的な演習を行い、全職員が緊急時の自身の役割と手順を理解している状態を作ることが、有事の際の混乱を最小限に抑えます。

復旧後の信頼回復に向けたステークホルダー対応

技術的なシステムの復旧が完了しても、インシデント対応は終わりではありません。失われた信頼を回復するため、患者、地域住民、取引先といったステークホルダーへの誠実な対応が求められます。調査によって明らかになった原因と具体的な再発防止策を、ウェブサイトや記者会見などを通じて透明性をもって公表する説明責任を果たします。個人情報の漏洩が確認された場合は、個人情報保護法に基づき、対象者への通知や専用の問い合わせ窓口の設置などを迅速に行い、二次被害の防止に全力を尽くす必要があります。

よくある質問

身代金を支払うべきか?

結論として、身代金は断じて支払うべきではありません。その理由は以下の通りです。

身代金を支払うべきでない理由
  • 支払ってもデータが復旧される保証は一切ない。
  • 攻撃グループの活動資金となり、さらなるサイバー犯罪を助長する。
  • 「支払いに応じる組織」という情報が出回り、再び攻撃の標的になりやすくなる。
  • 法執行機関による犯人特定や資金の追跡を困難にする。

警察や政府機関も一貫して身代金を支払わないよう呼びかけています。

警察や監督官庁への報告義務は?

はい、法的な報告義務が存在します。特に、患者などの個人情報の漏洩またはそのおそれが生じた場合、個人情報保護法に基づき、個人情報保護委員会への報告が義務付けられています。また、医療法を所管する厚生労働省への報告や、サイバー犯罪として警察への被害届の提出も必要です。事実を隠蔽することは、さらなる行政処分や社会的な信用の失墜を招くため、速やかに関係各所へ報告し、連携して対応することが求められます。

バックアップがあれば即時復旧できる?

バックアップデータが存在しても、即時復旧できるとは限りません。復旧作業の前には、バックアップデータ自体がマルウェアに感染していないかの検証や、攻撃の侵入口となった脆弱性を完全に塞ぐ作業、そして安全なネットワーク環境を再構築する手順が必要です。これらのプロセスには数日から数週間を要することも多く、バックアップがあることへの過信は禁物です。定期的な復旧テストを通じて、現実的な復旧時間と手順を把握しておくことが重要です。

サイバー保険の補償範囲とは?

サイバー保険は、ランサムウェア被害に伴う経済的損失を軽減する有効な手段ですが、補償範囲は保険契約によって異なります。一般的に補償対象となる費用とならない費用があります。

補償対象となることが多い費用 補償対象外となることが多い費用
侵入経路や被害範囲の調査費用(フォレンジック費用) 攻撃者に支払う身代金そのもの
システムやデータの復旧作業費用 将来的なセキュリティ強化のための設備投資費用
業務停止期間中の逸失利益や営業継続費用 意図的な法令違反に対する罰金
第三者への損害賠償金や訴訟対応費用
コールセンター設置や見舞金などの事後対応費用
サイバー保険の主な補償範囲

特に、攻撃者に支払う身代金は、犯罪を助長する性質から補償の対象外としている保険がほとんどです。加入を検討する際は、契約内容を十分に確認する必要があります。

まとめ:病院のランサムウェア対策は事例に学び、多層的な防御とBCP策定が鍵

本記事では、国内病院で発生したランサムウェアの被害事例とその原因、具体的な対策について解説しました。医療機関は、業務停止が許されないという構造的な脆弱性から攻撃者の標的とされやすく、VPN機器の脆弱性やサプライチェーン攻撃を起点とした被害が実際に発生しています。被害からの復旧には数ヶ月の期間と数億円規模の費用を要するケースもあり、診療停止は地域医療全体に深刻な影響を及ぼします。有効な対策は、オフラインでのバックアップ取得や脆弱性管理といった技術的対策に加え、サイバー攻撃を自然災害と同様のリスクと捉え、システム停止を想定したIT-BCP(事業継続計画)を策定し、定期的に訓練することです。まずは自院のリモート接続機器の管理状況やバックアップ体制を見直し、インシデント発生時の対応手順が明確になっているかを確認することから始めてください。ここで紹介した対策は一般的なものに留まりますので、自院の状況に即した具体的な計画については、セキュリティ専門家へ相談することをお勧めします。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました