医療機関を揺るがす「高額身代金」と「情報流出」
2025年2月、日本医科大武蔵小杉病院がサイバー攻撃を受け、約1万人分の患者個人情報が流出した可能性が報じられた。さらに攻撃者は高額の金銭を要求したとされ、医療機関を標準とするランサムウェア被害の深刻さを改めて浮き彫りにしている。
医療は社会インフラであり、診療停止や検査遅延は生命・健康に直結する。攻撃者はこの「止められない事情」を悪用し、短時間で支払いを迫る。しかも近年は、単なる暗号化だけでなく、窃取した情報を盾に二重・三重の恐喝を行う「二重恐喝(double extortion)」が常態化している。今回のように身代金要求と情報流出が併存する事案は、医療機関が直面するリスクの構造を端的に示す。
なぜ病院は狙われるのか:攻撃者にとっての“好条件”
病院が攻撃者にとって魅力的な標的となる理由は複合的だ。
止められない業務と「復旧の即時性」
電子カルテ、検査システム、画像診断、薬剤管理、会計、予約など、医療の中核はITに依存している。停止が長引けば診療制限や搬送制限が起き、医療安全上のリスクが増大する。攻撃者はこの切迫性を理解しており、復旧までの時間が短いほど支払い圧力が高まる。
多様な機器とレガシー環境
医療現場には、長期利用される医療機器や専用端末が多く、OSやミドルウェアの更新が困難なケースがある。さらに、メーカー保守・認証要件・医療安全の都合でパッチ適用が遅れがちになり、攻撃面(アタックサーフェス)が広がる。
委託・関連会社を含むサプライチェーンの広さ
検査委託、医事会計、清掃・設備管理、給食、システム保守など、多数の外部事業者が関与する。ID共有やVPNの管理不備、委託先端末の感染など、侵入口が増えるほど防御は難しくなる。
「1億ドル要求」が意味するもの:金額の根拠と交渉の現実
身代金要求額は、被害組織の規模、想定売上、復旧コスト、停止による損失、保険加入状況、過去の支払い実績などから算出される傾向がある。医療法人や大学病院クラスは、社会的影響が大きい一方で、復旧を急ぐ必要性も高い。攻撃者にとっては交渉余地があり、要求額が「最初の提示」として高めに設定されることも珍しくない。
ただし、支払いが解決策になるとは限らない。復号鍵が完全に機能しない、復旧が遅い、追加の脅迫が続く、再攻撃を招く、といった事例は世界的に報告されている。さらに、情報を盗まれている場合、支払っても「削除されたこと」を検証する手段は基本的にない。つまり、暗号化の被害が回復しても、情報流出リスクは残存する。
患者情報流出のインパクト:医療情報は“再発行できない個人情報”
医療情報は、氏名・住所・連絡先といった基本情報に加え、受診歴、診断名、投薬、検査結果など極めてセンシティブなデータを含む。クレジットカードのように番号を変更して終わり、とはいかない。「本人の健康状態」「家族構成を推測し得る情報」「将来にわたる差別や不利益につながり得る情報」が含まれるため、漏えいの心理的・社会的影響は大きい。
また、医療情報は標的型詐欺にも悪用されやすい。例えば「通院先」や「治療内容」を知っている体で電話・SMS・メールを送れば、被害者は信じやすい。今回のように1万人規模の可能性がある場合、患者への周知、問い合わせ対応、見舞金や信用監視など、二次対応コストも膨らむ。
初動対応で差が出る:被害拡大を防ぐ実務ポイント
ランサムウェア被害では、初動の巧拙が被害の総量を左右する。特に医療機関では「止められない」前提で、止め方と代替手順を準備しておく必要がある。
封じ込めの優先順位を明確化
感染端末の隔離、ネットワーク分離、権限アカウントの無効化、VPNやリモートアクセスの停止など、拡散を止める手当を迅速に実施する。現場判断が遅れないよう、事前に「停止してよい範囲」「停止の承認者」「代替運用(紙運用等)」を定義しておくことが重要だ。
証拠保全と復旧の両立
復旧を急ぐあまりログやメモリ情報を失うと、侵入経路の特定や再発防止が難しくなる。最低限の証拠保全(ログ退避、ディスクイメージ、時系列の記録)を行い、並行して医療継続のための復旧計画を走らせる体制が求められる。
患者・地域医療への影響評価
救急受入、手術、透析、がん治療など、影響の大きい領域から優先度を付け、代替医療機関との連携や搬送調整を含めたBCP(事業継続計画)を起動する。ここはITだけでは完結せず、医療安全・病院運営と一体で意思決定する必要がある。
再発防止の要点:医療機関が今すぐ強化すべき対策
医療機関のセキュリティは「ツール導入」だけでは成立しない。制約の多い環境に合わせた、運用中心の現実的な積み上げが重要だ。
バックアップの設計を“復旧できる形”へ
オフラインまたはイミュータブル(改ざん困難)なバックアップ、世代管理、復旧訓練(リストア演習)をセットで行う。バックアップがあっても、復旧手順が未整備だと診療再開に間に合わない。
特権IDとリモート経路の統制
攻撃者は管理者権限を奪うことで全域暗号化を狙う。多要素認証、特権IDの分離、アクセス権の最小化、端末の衛生管理、VPN機器やリモート管理ツールの棚卸しと更新が必須だ。
ネットワーク分離と資産の可視化
医療機器ネットワーク、職員端末、サーバ群、来訪者Wi-Fiなどを論理的に分離し、横展開(ラテラルムーブメント)を阻止する。加えて「何がどこにあるか」を把握する資産管理がないと、守るべき範囲が定義できない。
委託先・関連会社を含む統合ガバナンス
病院単体ではなく、保守ベンダーや外部委託を含めたセキュリティ要件(認証、端末管理、ログ、インシデント連絡、脆弱性対応期限)を契約に落とし込み、点検する。サプライチェーンは“最も弱い環”が突破口になる。
机上訓練から実動訓練へ
ランサムウェアを想定し、診療継続、広報、法務、個人情報対応、警察・関係機関との連携まで含めた実動訓練を行う。特に「どのタイミングで何を止めるか」「患者への説明をどう行うか」は、訓練でしか磨けない。
医療DX時代に求められる現実解:安全は“追加機能”ではなく“基盤”
医療DXが進むほど、データ連携や遠隔アクセスは増え、攻撃面は広がる。一方で、医療機関には予算・人材・稼働率の制約が大きい。だからこそ、理想論ではなく、優先順位を付けた現実的な投資が必要となる。具体的には「復旧できるバックアップ」「特権とリモートの統制」「分離と可視化」「委託先を含む運用」「訓練による即応力」をまず固めることが、被害を最小化する最短距離だ。
今回の事案は、病院がサイバー攻撃の“例外”ではなく“主戦場”になっていることを示す。患者の安全と信頼を守るためには、医療の質と同じ重みでセキュリティを設計し、継続的に運用していく姿勢が不可欠である。
参照: 病院へのサイバー攻撃 1億ドル要求 日本医科大武蔵小杉病院 患者個人情報約1万人流出(2026年2月13日) Bobby Clark (dcJec5an1f) – Mshale