-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
病院へのランサムウェア攻撃が増加する背景
医療機関を標的にした理由
医療機関がランサムウェアのターゲットになる理由には、主にその独特な立場と業務内容が挙げられます。病院では患者の電子カルテや診療情報など、非常に重要かつセンシティブなデータを取り扱っています。こうしたデータは暗号化されると診療業務に支障をきたし、迅速な復旧が求められるため、ランサムウェア攻撃者にとっては高額な身代金が期待できる格好の標的となっています。
さらに2024年現在、病院の運営にはさまざまなITシステムが深く関与しており、一部システムが停止するだけでも診療の遅延や混乱を引き起こす場合があります。こうした状況を悪用し、攻撃が成功しやすい環境が構築されているといえます。また、多くの医療機関ではサイバー攻撃に対するセキュリティ体制が万全でないことも、攻撃の増加に拍車をかけています。
電子化の進展と新たな脆弱性
医療分野における電子化の進展は、診療や運営の効率化に大きく貢献している一方で、新たなサイバーセキュリティ上の脆弱性を生む原因にもなっています。特に、電子カルテや画像管理システムの導入が進む中で、これらのシステムが攻撃の対象となるケースが増加しています。
例として、2024年に発生した岡山県精神科医療センターの事例では、電子カルテシステムの不具合からランサムウェア攻撃が発覚し、最大4万人分の患者情報が流出した可能性が報告されました。このように電子化したシステム自体が攻撃対象となり得るため、セキュリティ対策が追いつかない医療機関では深刻なリスクが顕在化しています。
サイバー犯罪組織の活動の変化
近年、サイバー犯罪者はますます組織化され、洗練された攻撃手法を用いるようになっています。また、ランサムウェアがサイバー攻撃の主流として選ばれるようになった背景には、攻撃者が金銭的利益を得る手軽な手段として捉えていることがあります。ランサムウェア攻撃では、標的が身代金を支払うまでデータを人質に取るという仕組みから、高額の支払いを引き出しやすい構造となっています。
特に医療機関においては、診療業務が停滞すると患者の健康や命にかかわるため、迅速な対応が求められることが多いです。このような背景から、攻撃者は医療機関の「身代金を支払わざるを得ない」立場を巧みに利用しています。また、2023年にはRecorded Futureが44件もの医療関連ランサムウェア攻撃を確認しており、こうした攻撃が年々増加傾向にあることを裏付けています。
脆弱なVPN装置やシステムの課題
病院内システムでは、リモート接続やネットワークセキュリティのためにVPNが使用されることが一般的ですが、これらの装置が脆弱である場合、ランサムウェア攻撃の突破口となる事例が多発しています。例えば、大阪急性期・総合医療センターでは、給食事業者のVPN機器の脆弱性を介して医療システムへの攻撃が行われました。この攻撃によって電子カルテシステムが利用不能となり、診療に深刻な影響を与えました。
また、国分生協病院の事例では、認証なしのリモートデスクトップ接続が原因となり画像管理サーバーがランサムウェアに感染する問題が明らかになっています。このようなシステムの設定ミスやセキュリティの甘さは、医療機関のサイバーリスクを一層高めています。
したがって、システムのセキュリティ強化はもちろん、VPN装置やリモートアクセス環境の設定の見直しが急務となっています。医療機関は2024年以降ますますサイバー攻撃への対応を求められる時代に突入しているといえます。
ランサムウェア攻撃による被害事例
岡山県精神科医療センター事例
2024年5月19日、岡山県精神科医療センターはランサムウェア攻撃を受け、電子カルテシステムに不具合が発生しました。この影響により、医療業務が大幅に制限され、患者情報の取り扱いに深刻な問題が生じました。その後、6月11日には患者情報が最大4万人分流出していた可能性が報告される事態となりました。この件について岡山県警が不正アクセス禁止法違反の容疑で捜査を開始しましたが、センター側にとって患者データ保護への信用が揺らぐ深刻な影響を及ぼしました。
大阪急性期・総合医療センター攻撃の詳細
大阪急性期・総合医療センターは、2022年10月31日にランサムウェア攻撃を受けました。この攻撃は、給食事業者のシステムを経由して病院の医療情報システム(HIS)に侵入する形で行われました。攻撃の起因はVPN機器の脆弱性によるもので、午前4時に最初の感染が確認されました。
攻撃のタイムラインには、午前5時43分にサーバーエラーが発生し、午前7時45分にはランサムノートが確認されるまでの迅速な発見がありましたが、その後の対応には多くの時間と労力が費やされました。患者の電子カルテが使用できなくなり、診療業務が広範囲にわたり停止したことで、医療提供の質が著しく損なわれました。
被害規模と診療への影響
ランサムウェア攻撃による被害規模は、単なる金銭的損害にとどまりません。前述した攻撃事例では、患者の電子カルテが使用不能となったことで診療記録の確認ができなくなるなど、診療そのものに多大な影響を及ぼしました。特に大阪急性期・総合医療センターのケースでは、システム障害が災害レベルの緊急事態として認識され、一時的に「災害モード」での診療が余儀なくされました。これは患者ケアの継続性に大きな困難をもたらし、多くの医療従事者に負担を強いる結果となりました。
復旧にかかった費用と時間
ランサムウェア攻撃からの復旧には莫大なコストと時間が必要となります。岡山県精神科医療センターのケースでは、電子カルテシステムの完全な復旧までに数週間を要し、その間に必要となった臨時措置の影響でさらなるコストが発生しました。また、国際的な事例ではランサムウェア攻撃による身代金の支払いが2200万ドル(約22億円)に上るケースもあり、医療機関の財務体力を著しく脅かす結果となっています。
驚くべき被害額の現状
電子カルテシステムの復旧に要するコスト
電子カルテシステムは、病院運営において中核的な役割を担っています。しかし、ランサムウェア攻撃によってこのシステムが暗号化されると、復旧には多大な費用が発生します。たとえば、一部の医療機関では数億円規模の費用が発生したと報じられています。この費用には、データ復旧に必要な技術的サポート費用や、患者診療への影響を緩和するための代替システムの導入費用が含まれます。
ランサムウェア要求額の推移
ランサムウェア攻撃者が要求する金額は年々増加しています。2023年の事例では、米国のChange Healthcareがランサムウェア攻撃者に2200万ドル(約22億円)を支払ったとされています。こうした高額な要求は、病院がその社会的役割上、緊急性をもってシステムを復旧せざるを得ない立場に付け込むもので、医療機関をターゲットにした攻撃の増加につながっています。
直接的な金銭被害と逸失利益の算出
ランサムウェア攻撃による影響は、復旧費用や要求額に留まりません。診療が停止したり、予約が取り消されたことによる逸失利益も甚大です。ある病院では、攻撃の影響で約1週間にわたり診療サービスが停止し、その間の収益損失が数千万円規模に達しました。また、患者が他の病院に流れてしまうことで長期的な収益低下に繋がる可能性も指摘されています。
情報漏洩による二次的損害
ランサムウェア攻撃では、金銭被害だけでなく、患者情報の漏洩による二次的な損害も大きな問題となります。2024年には岡山県精神科医療センターがランサムウェア被害により、最大4万人の患者情報が流出した可能性があると報告しました。このような漏洩は患者の信頼を低下させるだけでなく、病院が行政罰や賠償責任を負う可能性も出てきます。また、流出情報が悪用されることで、さらなる詐欺被害が拡大するリスクもあります。
医療機関が実施すべき対策
ランサムウェア攻撃の事前対策
ランサムウェアによる被害を未然に防ぐためには、医療機関におけるセキュリティ体制の強化が不可欠です。具体的には、電子カルテシステムやVPN装置などに対し、最新のセキュリティパッチを適用することが求められます。また、不正アクセスを防ぐために、2要素認証や強力なパスワードポリシーを採用することが有効です。さらに、定期的なセキュリティ監査を実施し、脆弱性を早期に発見する仕組みを整える必要があります。「国分生協病院」の事例のように、リモートデスクトップ機能の未設定が攻撃の温床となる場合もあるため、設定ミスの確認も重要です。
迅速な攻撃への対応手順
万が一ランサムウェア攻撃を受けた場合、初動対応が被害の拡大を防ぐ鍵となります。攻撃を認識した段階で、感染したシステムを切り離し、ネットワークの遮断を行うことで被害を局限できます。さらに、攻撃の詳細な影響範囲を調査するため、専門家のサポートを依頼することが推奨されます。例えば、大阪急性期・総合医療センターの事例では、災害モードへの切り替えや各関係機関への速やかな連絡が被害対応に大きく寄与しました。このような初動対応のフローを事前に策定し、スタッフ全員に周知しておくことが重要です。
外部専門家の活用と啓発活動
医療機関が独自にセキュリティ全般を管理することには限界があります。ランサムウェア攻撃に対応するためには、外部の専門家やサイバーセキュリティ企業への協力を仰ぐことが効果的です。例えば、トレンドマイクロのデータが示すように、ヘルスケア業界に特化した攻撃が増加している現状では、業界のトレンドを熟知したプロフェッショナルのアドバイスが大きな助けとなります。また、医療従事者やIT担当者を対象とした定期的な教育や演習も重要です。脅威となるランサムウェアの手口が日々高度化する中、最新の動向や対策を学び続けることが有効な予防策となります。
被害を最小限に抑えるためのガイドライン
ランサムウェア攻撃のリスクを最小限に抑えるためには、明確かつ実行可能なガイドラインの整備が不可欠です。このガイドラインには、事前対策、攻撃時の緊急対応、データのバックアップに関する規定を含めることが重要です。例えば、重要な医療データを定期的にオフライン環境でバックアップし、復旧可能な体制を整えることで、ランサムウェア要求に応じずとも業務を継続できます。また、情報漏洩の二次被害を防ぐために、患者情報の適切な管理とアクセス権の制御も徹底する必要があります。これらの対策を体系的にまとめたガイドラインを全職員で共有し、必要に応じて見直しを行うことで、2024年以降も進化するサイバー脅威への対応力を高めることができます。
