病院や医療機関は、電子カルテ、保険情報、支払データといった極めて機微な個人情報を大量に保有しており、攻撃者にとっては価値の高い「情報資産の宝庫」となっています。さらに、レガシーなシステムの継続利用、IT予算の不足、人員リソースの限界といった課題から、セキュリティ対策が後手に回りがちです。
とりわけ、ランサムウェア(身代金要求型マルウェア)による攻撃では、業務停止の代償として病院が身代金を支払うケースが後を絶たず、それがまた新たな攻撃の呼び水となる構造ができあがっています。
本稿では、病院に対する主なサイバー攻撃手法とその対策、さらに攻撃を受けた際の初動対応について、実行可能な視点から解説いたします。
>>【サイバーインシデント緊急対応企業一覧】信頼性の高い企業を紹介
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
実際に病院で発生しているサイバー攻撃事例
厚生労働省やJPCERT/CCの報告によれば、過去数年で医療機関を標的としたランサムウェア攻撃が急増しています。たとえば2021年には徳島県の病院がLockBitランサムウェアに感染し、電子カルテが利用できない状態が2ヶ月以上続きました。この事案では、外部へのVPN接続機器の脆弱性が悪用されたと見られています。
このような被害は全国の中小病院でも発生しており、単なる一過性の脅威ではなく、医療インフラ全体に関わる深刻な課題となっています。
病院における主なサイバー攻撃の手口
病院で発生する可能性があるサイバー攻撃には様々な種類があります。サイバー攻撃の中には電子カルテや予約システムの停止に直結し、診療の継続が困難になりかねないものもあります。
病院・医療機関が被害に遭う可能性のある主なサイバー攻撃の種類は以下の通りです。
- ランサムウェア感染
- マルウェア感染
- フィッシング詐欺
- 標的型攻撃・ビジネスメール詐欺
- DDoS攻撃
- 内部不正・職員による情報漏洩
ランサムウェア感染
ランサムウェアとは、端末内のファイルやシステム全体を暗号化し、復旧のために“身代金”を要求するマルウェアの一種です。医療機関が標的とされやすい理由は、診療停止が人命に関わるため、迅速な復旧を目的として支払いに応じるケースが多いからです。
電子カルテや予約システム、画像診断装置などが暗号化されると、診療業務が完全に停止します。さらに最近では、暗号化だけでなく、データを窃取したうえで「公開を予告する」二重脅迫型の攻撃が主流となっています。攻撃経路としては、メール添付ファイルやVPN機器の脆弱性が多く活用されており、入口対策とバックアップ体制の整備が不可欠です。
>>医療機関を標的とするQilinランサムウェアの特徴と対処法を徹底解説
マルウェア感染
マルウェアとは、スパイウェア、トロイの木馬、バックドア型などを含む「悪意あるソフトウェア」の総称です。感染経路としては、メールの添付ファイル、USBメモリ、外部サイト経由などが挙げられます。
感染後は、内部ネットワークをスキャンして他の端末へ拡散したり、キーロガー機能によって認証情報を盗み出すことがあります。特に「ステルス型マルウェア」に注意が必要であり、長期間にわたって検知されずに機密情報を外部へ送信するケースも報告されています。
フィッシング詐欺
フィッシング詐欺は、病院職員を偽のログインページや不審なサイトに誘導し、IDやパスワードを盗み取る攻撃手法です。盗まれた認証情報は、そのまま電子カルテや医療会計システムへの不正アクセスに悪用されることがあります。
標的型攻撃・ビジネスメール詐欺
フィッシング詐欺よりも悪質な手口が標的型攻撃やビジネスメール詐欺(BEC)です。
これは病院の管理職や経理担当者、厚生労働省の職員などに攻撃者がなりすまし、病院内の特定の人物を狙って行われる攻撃です。攻撃者は事前に対象の役職、関係者、会話のやり取りなどをリサーチし、あたかも実在する上司や業者になりすましたメールを送ってきます。
医療機関では、行政機関や業者と頻繁に連絡を取るため、不審な点に気付きにくく、攻撃が成立しやすい環境となっています。場合によっては、メールアカウントが乗っ取られ、送金指示や請求書の変更を装って金銭を詐取される事例も発生しています。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃は、複数の感染端末(ボット)を使って大量の通信を送りつけ、標的のWebサーバやネットワークをダウンさせる攻撃です。
病院のWeb予約システムや職員用ポータルサイトが停止すると、診療予約や検査依頼に支障をきたします。また、DDoS攻撃はランサムウェアなど他の攻撃のカモフラージュとして用いられることもあります。対策としては、クラウド型WAFやDDoS対策サービスの導入に加え、公開システムの可用性監視も重要です。
内部不正・職員による情報漏洩
退職者や現職員によるデータ持ち出し、不注意によるメール誤送信など、内部からの情報漏洩も深刻なリスクとなっています。多くの場合、監視体制や内部統制の不備が原因となります。
漏洩の可能性がある情報の具体例として、以下が挙げられます。
- 患者の氏名・住所・病歴・検査結果
- 職員の個人情報や給与情報
- 保険証番号や支払情報
- 処方箋や診断書の内容
- 院内メールやチャットなどのコミュニケーション記録
サイバー攻撃や情報漏洩により診療停止や賠償が発生すれば、病院の経営だけでなく人命も危険にさられかねません。
また、対応によっては報道や風評被害により地域社会からの信頼も失われる可能性もあります。もしも病院や医療機関を狙ったサイバー攻撃に遭遇した場合は、すぐに専門家までご相談ください。
病院におけるサイバー攻撃の原因と脆弱性
医療機関におけるサイバー攻撃の背景には、技術的なセキュリティ対策の不備だけでなく、人的要因や運用ルールの未整備といった組織的課題も深く関わっています。以下では、代表的なリスク要因を分類し、それぞれの実態と影響について解説します。
- ネットワーク機器・SSL-VPNの脆弱性
- 私物デバイスの持ち込み・内部統制の不備
- セキュリティ教育・運用ルールの未徹底
ネットワーク機器・SSL-VPNの脆弱性
病院におけるITインフラは、他業種と比べてシステム更新のサイクルが長く、古いネットワーク機器やソフトウェアが長期間使用されている傾向があります。特にSSL-VPN(仮想プライベートネットワーク)は、職員のリモートアクセスや外部ベンダーの接続に多用されており、古いファームウェアでの運用や不要ポートの開放が脆弱性の温床となっています。
実際に、CVE(共通脆弱性識別子)で公表された既知の脆弱性が放置され、FortinetやPulse Secureなどの製品が標的となった事例が複数報告されています。攻撃者は、これらの脆弱性を悪用してVPN経由でネットワーク内部に侵入し、ファイルサーバや電子カルテなどの機密システムにアクセスする可能性があります。
>>脆弱性診断(セキュリティ診断)とは?実施すべき理由と診断サービスについて解説
私物デバイスの持ち込み・内部統制の不備
一部の医療機関では、医師や看護師が個人所有のスマートフォンやノートパソコンを業務に使用する「BYOD(Bring Your Own Device)」の運用が黙認されている場合があります。これにより、私物デバイスから無許可で院内ネットワークにアクセスされたり、外部クラウドサービスへ医療データが持ち出されたりするリスクが発生します。
勤務時間外に私物端末で業務データを取り扱うケースも少なくなく、こうした行為に対する明確なガイドラインが存在しないことが、さらなるリスク拡大につながっています。加えて、USBメモリの使用制限の不徹底、印刷物の管理ルールの曖昧さなども、情報漏洩やマルウェア感染を引き起こす要因となります。
セキュリティ教育・運用ルールの未徹底
医療機関では診療や看護といった本業の忙しさゆえに、情報セキュリティ教育の優先度が後回しにされがちです。特に地方の中小病院では、IT部門の人員が限られており、最新の脅威に対応した教育体制を整備できていないケースも珍しくありません。
その結果、「不審なメールに添付されたファイルを開いてしまう」「パスワードを使い回す」「機密情報を私用メールに転送する」といったヒューマンエラーが多発します。また、情報取り扱いに関する就業規則やマニュアルが存在していても、内容が古かったり、周知されていなかったりすることで形骸化しているケースもあります。
病院でサイバー攻撃が発生した場合の対処法
病院でサイバー攻撃が発生した場合の対処法は以下の通りです。
- ネットワークを遮断する
- 厚生労働省へ連絡する
- 個人情報保護委員会へ報告する
- 専門家によるフォレンジック調査を実施する
ネットワークを遮断する
サイバー攻撃が発覚したら、まず行うべきは感染拡大を防ぐためのネットワーク遮断です。ランサムウェアやマルウェアの多くは、感染端末から他のネットワーク機器やサーバーに自動的に拡散します。
攻撃を検知した時点で、被害を最小限に抑えるには、該当端末だけでなく、場合によっては院内ネットワーク全体やインターネット接続の一時遮断も検討する必要があります。
ネットワークの遮断により、通信経路を絶つことでデータの流出や攻撃の進行を一時的に止めることができます。ただし、院内ネットワーク全体を遮断すると放射線画像の転送や検査機器との通信も停止する恐れがあるため、あらかじめ「重要機器接続リスト」などを整備しておくことが不可欠です
厚生労働省へ連絡する
医療機関がサイバー攻撃を受けた場合、その内容や影響によっては厚生労働省へ速やかに報告する必要があります。特に、診療業務の停止や電子カルテの閲覧不能といった医療提供体制に影響を及ぼす事案では、報告が遅れると、行政からの支援(他病院への診療分散要請や緊急通達)を受け損なう恐れがあります。
厚生労働省は過去にも、医療機関向けにランサムウェア対策のガイドラインや注意喚起を発信しており、感染が確認された場合は、被害状況・初動対応・今後の見通しなどを整理し、所轄の地方厚生局や医政局へ報告します。
また、報告と同時に、他の医療機関への影響を防ぐ観点から、攻撃手法や使われたマルウェアなどの情報を共有することが、業界全体のリスク軽減にもつながります。こうした報告体制を日頃から確認し、万一の際に慌てないよう、平時から連絡先リストや報告フローを整備しておくと安心です。
個人情報保護委員会へ報告する
サイバー攻撃により個人情報が漏洩、または漏洩した可能性がある場合には、個人情報保護法に基づき「個人情報保護委員会」への報告が義務付けられています。特に以下のようなケースでは、原則として速やかな報告が求められます。
- 漏洩件数が1,000件以上にのぼる場合
- 医療情報や病歴といった「要配慮個人情報」が含まれる場合
- 不正アクセスや悪意ある第三者による攻撃と推定される場合
報告にあたっては、次の内容を含む詳細な書面を準備する必要があります。
- 事案の発生日・発覚日とその経緯
- 漏洩した情報の種類と件数
- 想定される影響範囲
- 現在講じている対策および再発防止策
また、対象となる患者や職員に対しては、個別に速やかな通知を行う義務があります。この際、通知の遅れや不備があると、行政指導や勧告、さらに罰則の対象となる可能性もあるため、正確な情報整理と関係部門との連携が不可欠です。
通知文の作成から発送、問い合わせ対応に至るまで、医事課・広報・法務部門などが連携する必要があり、通常業務への影響も避けられません。こうした混乱を最小限に抑えるためには、事前に「漏洩発生時対応マニュアル」や「通知文テンプレート」などの準備を行っておくことが推奨されます。
専門家によるフォレンジック調査を実施する
サイバー攻撃の被害が発生した際に最も重要な対応の一つが、「原因の特定」と「被害範囲の把握」です。そのためには、デジタルフォレンジックの専門家による調査が不可欠です。フォレンジック調査では、攻撃者の侵入経路、使用されたマルウェア、侵害された端末やサーバー、持ち出された情報などを技術的に分析し、時系列で証拠を復元します。
この結果をもとに、攻撃の全体像や被害規模を明らかにすることで、今後の再発防止策の設計や、必要な報告書の作成、保険会社や監査対応にも役立ちます。
また、第三者調査報告は、社会的信用を維持するうえでも重要な材料となります。病院にとっては非日常の技術領域であるため、実績のあるフォレンジック調査会社を選定し、平時から連携体制を構築しておくことが重要です。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
24時間365日相談を受け付けており、突然のサイバー攻撃の相談も受け付けている調査会社を紹介します。
こちらの調査会社は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く、スピード対応により、最短30分でWeb打合せ+最短1日で診断結果のご報告まで可能な場合もあります。
また、万が一不正アクセスを受けて「セッションハイジャック攻撃」を受けてしまった場合、「フォレンジック調査」と呼ばれるサイバー攻撃などの原因調査などを実施してもらえるため、攻撃後のセキュリティ対策が必要な場合も利用することができます。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、ハッキング調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
病院が取るべきサイバーセキュリティ対策
病院のサイバー攻撃対策として有効とされるサイバーセキュリティ対策は以下の通りです。
- VPN機器のセキュリティの確保
- 多要素認証の導入
- サプライチェーン全体でのセキュリティの確保
- 攻撃に速やかに検知・対処するシステムの導入
- 被害発生時の対応計画の策定
VPN機器のセキュリティの確保
SSL-VPN(仮想プライベートネットワーク)は、外部から院内ネットワークにアクセスする際に利用される重要な接続手段です。しかしながら、ファームウェアの更新が行われていない機器や、不要なポートが開放されたままの状態では、深刻な脆弱性が放置されている可能性があります。
- VPN機器のファームウェアを常に最新の状態に保つ
- 管理画面へのアクセス制御(外部からの制限、IPフィルタリング等)
- 不要ポートの閉鎖と通信制御の最適化
- アクセスログの保存および監査体制の整備
以上の対策を講じて外部からの不正アクセスやゼロデイ攻撃のリスクを最小限に抑えましょう。
多要素認証の導入
ID・パスワード認証のみでは、フィッシングやパスワード漏洩による不正ログインを防ぐことが困難です。多要素認証(MFA)を導入することで、認証の堅牢性を高めることができます。
- VPNや院内ポータルサイトへのリモートアクセス
- 電子カルテシステムなどの高機密システムへの管理者アクセス
- 外部クラウドサービス(メール、ファイル共有ツール等)へのログイン
実装例としては、スマートフォンによるワンタイムパスワード(OTP)認証、生体認証、ハードウェアトークンなどが挙げられます。
サプライチェーン全体でのセキュリティの確保
病院が直接攻撃されるだけでなく、関連業者やシステムベンダーが狙われることで二次的に被害を受ける「サプライチェーン攻撃」の事例が増えています。
これを防ぐためには、以下のような体制が必要です。
- 業務委託契約時にセキュリティ要件(MFA、暗号化、監査ログの取得等)を明文化
- インシデント発生時の報告義務や対応フローを契約に盛り込む
- 業者のアクセス権限・利用システムの範囲を明確にし、定期的に見直す
こうした対応により、取引先経由での攻撃リスクを抑制することが可能です。
攻撃に速やかに検知・対処するシステムの導入
侵入を完全に防ぐことは困難である以上、「侵入された後にどれだけ早く気づけるか」が非常に重要です。
有効な対策として以下が挙げられます。
- EDR(Endpoint Detection and Response)で端末上の不審な挙動をリアルタイムで検出する
- SIEM(Security Information and Event Management)で、各種ログを監視する
- MSSP(セキュリティ監視サービス)を活用し、専門人材の不足を補完する
中小規模の病院においても、クラウド型EDRの活用により初期コストを抑えつつ、必要な監視体制を構築することが可能です。
被害発生時の対応計画の策定
インシデント発生時の混乱を最小限に抑えるためには、事前に明確な対応計画を整備しておくことが重要です。特に、以下のような事項を文書化し、関係者全員が共有しておく必要があります。
- 感染・侵害を検知した際の初動対応フロー(ネットワーク遮断、影響範囲の確認 等)
- 厚生労働省、個人情報保護委員会、取引先等への報告手順と連絡先一覧
- フォレンジック調査や外部専門家の依頼基準
- 院内訓練(テーブルトップ演習等)による実効性の検証
これらの対策は、単に技術的な観点だけでなく、組織としての危機管理能力を高めることにもつながります。
まとめ
医療機関を狙ったサイバー攻撃は今や他人事ではなく、日常業務を脅かす現実的なリスクです。被害を未然に防ぐためには、技術的な対策と職員への教育、そして万一のための備えが不可欠です。この記事を参考に、自院のセキュリティ体制を見直し、万が一の事態に陥った時に患者と職員を守る万全な体制構築を進めてください。