-1-150x150.png){kind=avatar}
コトラ(広報チーム) 
半田病院が直面したランサムウェア被害の概要
攻撃が発生した背景と状況
2021年10月31日未明、徳島県つるぎ町立半田病院はランサムウェア「LockBit2.0」によるサイバー攻撃を受けました。この攻撃はVPN装置の脆弱性(CVE-2018-1337)を悪用して侵入したものとされ、電子カルテや院内システムが暗号化される事態が引き起こされました。当時、この脆弱性への対策が適切に取られておらず、悪意のある集団に悪用される結果となりました。病院側は攻撃開始から数時間後に異常を検知しましたが、院内システム全体が停止するほどの影響を受け、通常業務が続行できなくなりました。
ランサムウェアの種類とその特徴
半田病院を攻撃したランサムウェア「LockBit2.0」は、高度な暗号化技術と迅速な感染拡大能力を持つサイバー攻撃ツールです。このランサムウェアは、侵入先のネットワーク内で横展開を行い、データやシステムを暗号化して使用不能にします。さらに、身代金を要求する際に暗号化解除の「証拠」を提供する仕組みを持ち、被害者に支払いを促す特徴があります。これらの手段により、医療機関など日常的な運営が重要な施設をターゲットにするケースが増えています。
被害の範囲と院内の混乱
ランサムウェアにより、半田病院の電子カルテ、医事サーバー、予約システムといった全ての主要な院内システムが停止しました。その結果、外来会計や新規患者の受け入れが不可能となり、通常の診療業務が徹底的に妨げられる事態となりました。特に電子カルテが使用できない状況は、急を要する治療や診療に大きな支障をきたしました。医療スタッフたちは手作業での処理を余儀なくされ、患者への対応も限られた範囲で行うしかありませんでした。これらの混乱に加えて、病院の信用にも深刻な影響を及ぼしました。
外部からの支援と初動対応
攻撃を受けた直後、半田病院は専門の復旧業者やセキュリティ企業に支援を求めました。支援を受けてサーバーの緊急停止や感染範囲の特定などの初動対応を行い、サイバー攻撃の拡大を防ぐ努力が開始されました。また、災害対策本部が設置され、関係者間での情報共有や県警への報告も迅速に行われました。このような初動対応が、最終的な復旧プロセスを円滑に進める土台となりました。さらに、有識者会議も設置され、専門家たちのアドバイスを得てシステム再構築が進められました。
なぜ被害が発生したのか:セキュリティ対策の課題
VPNやネットワーク機器の脆弱性
半田病院が受けたランサムウェア攻撃の直接的な原因として、VPN装置の脆弱性が挙げられます。具体的には、「CVE-2018-1337」と呼ばれるセキュリティホールが悪用され、外部から不正アクセスを許してしまいました。この脆弱性はすでに数年前に公開されており、その対策としてセキュリティパッチを適用する必要がありました。しかし、パッチの適用が遅れたことにより、攻撃者に侵入の機会を与えてしまったのです。
電子カルテシステムの古い仕様
病院内で使用されていた電子カルテシステムの仕様が古かったことも、ランサムウェア攻撃の被害を拡大した原因です。古いシステムは最新のセキュリティ要件に対応していない場合が多く、暗号化通信の不十分さやバックアップシステムの欠如が問題となっていました。攻撃により電子カルテが完全に閲覧不可の状態になったことで、医療業務が全面的に停止し、外来会計や新規患者受け入れもできなくなる深刻な影響を与えました。
運用・管理体制の不備
セキュリティ管理体制の不備も、被害を拡大させた要因の一つです。特に、ITインフラやセキュリティ機器の定期的なメンテナンスを行うべき体制が不十分で、脆弱性の把握や対応が遅れていました。また、セキュリティ担当の専門知識を持つスタッフの不足や、システム利用者への教育不足も指摘されています。このような運用面での課題が、攻撃後の対応を複雑にし、復旧までの期間を長期化させたと考えられます。
防ぐべきだったサイバーリスクの兆候
ランサムウェアの感染前には、さまざまなサイバーリスクの兆候が見逃されていました。例えば、VPNへの不審なアクセスログや、システムへの予期せぬログイン試行など、通常では発生しない異常な挙動が観測されていた可能性があります。しかし、これらを適切に検知し、迅速に対処するための監視システムや対応マニュアルが整備されていなかったことで、攻撃の防止に至りませんでした。このようなリスクの見落としが、結果的には大規模なシステム停止につながることとなりました。
復旧作業の裏側:どのように2ヶ月で復旧を実現したのか
フォレンジック調査の実施とその成果
半田病院では、ランサムウェア攻撃を受けた直後にフォレンジック調査を実施しました。この調査は、攻撃の侵入経路やデータ暗号化のプロセスを特定し、被害を最小限に抑えるための重要な作業です。調査の結果、攻撃者はVPN装置の脆弱性(CVE-2018-1337)を悪用して侵入したことが判明しました。また、感染源となったLockBit 2.0の特性やその動作についても明らかにされました。これにより、病院側が抜本的なセキュリティ改善に向けた具体的な課題を認識する契機となりました。
復旧プロセスを支えたチームと企業
復旧作業に際して、病院単独では対応が困難であったため、外部の専門企業や有識者チームの協力が不可欠でした。サイバーセキュリティの専門企業であるB社が復旧プロセスを主導し、暗号化されたデータの復元やシステム再構築にあたりました。また、感染の初動から有識者会議が設置され、各専門家がアドバイスを提供しました。このように、外部からの支援体制が復旧プロセス全体を円滑に進める重要な鍵となりました。
暗号化データの解除とシステム再構築
最も困難だった作業の一つが、暗号化された電子カルテや医事システムのデータ復旧でした。攻撃者に支払われた身代金により取得した復号キーを用いて、データの取り戻しが進められました。その後、完全な復元のために全システムのフルスキャンと再初期化作業が実施され、安全が確認された状態で再稼働が始まりました。また、新しいサーバーやネットワーク機器への移行も並行して行われ、セキュリティを搭載した再構築が行われました。
現場で重要視された即時対応
感染直後の初動対応も、復旧の迅速化に大きく貢献しました。攻撃が確認されると、病院は迅速にすべてのサーバー及び端末の緊急停止を行い、被害の拡大防止に努めました。また、災害対策本部の設置により、院内外の関係者を招集し、対応計画を迅速に策定しました。さらに、対応の透明性を確保するために報道を通じた状況公開が行われ、県警や他の医療機関とも連携が図られました。このような柔軟な対応が、結果としてわずか2ヶ月という短期間での機能回復につながったのです。
被害の教訓とこれからのサイバーセキュリティ対策
ランサムウェアへの具体的な対策とは
ランサムウェア攻撃を防ぐためには、いくつかの具体的な対策があります。半田病院が直面した攻撃では、VPN装置の脆弱性を悪用されており、これは特にセキュリティパッチを適切に適用していなかったことが原因とされています。そのため、システム管理者は定期的にソフトウェアやハードウェアの更新を行い、既知の脆弱性を迅速に解決する必要があります。
さらに、多要素認証(MFA)の導入も重要です。特にVPNやリモートアクセスシステムでは、パスワードのみに依存したセキュリティでは攻撃者に対して弱点となります。多要素認証を加えることで不正アクセスリスクを大幅に減少できます。
また、適切なバックアップの作成とその管理も欠かせません。定期的に重要なデータをバックアップし、これを外部媒体やクラウド上に保管することで、ランサムウェアによる暗号化被害が起きても迅速なデータ復旧が可能になります。これらの対策は、半田病院を含むすべての医療機関にとって必要な防御手段といえます。
地方医療機関が抱える共通課題
地方医療機関がランサムウェア被害を受けやすい原因の一つは、セキュリティ対策への予算やリソースが不足している点にあります。半田病院も典型的な例として、電子カルテシステムやネットワーク機器の更新が遅れていたことが問題視されています。これらの古いシステムは最新の攻撃手法に対して脆弱であり、結果的にランサムウェア攻撃を容易に許す要因となります。
また、専門的なIT技術者を確保することが難しいことも、地方医療機関の課題の一つです。セキュリティ体制の構築と維持には高度な専門性が必要ですが、多くの小規模病院では十分な人材配置が行われていません。そのため、半田病院のように外部専門企業に対応を依存せざるを得ない状況が発生します。これらの課題は、多くの地方医療機関が共有しているといえます。
他の病院との情報共有の重要性
サイバー攻撃への対応力を高めるためには、他の病院との情報共有が極めて重要です。半田病院の事件をきっかけに、医療施設間でランサムウェアやサイバーリスクに関する教訓を共有し合う動きが進みました。例えば、有識者会議を設置して事件の分析を行い、その結果を報告書として公開したことは、他の医療施設にとっても再発防止策を学ぶ貴重な材料となりました。
また、同じような脅威にさらされる可能性がある医療機関が、攻撃手法や侵入経路の情報をリアルタイムで共有することは、新たなサイバー攻撃の被害を防ぐための重要な手段です。その結果、似たようなランサムウェア攻撃に対する早期検知や迅速な初動対応が可能となります。
長期的なセキュリティ強化の必要性
一時的な対策だけでは、サイバー攻撃のリスクを完全に取り除くことはできません。そのため、長期的な視点でセキュリティを強化していくことが求められます。半田病院のケースのように、ランサムウェア被害が甚大であった場合、復旧費用や被害金額が膨大になり、その後の運営にも多大な影響を与えます。こうした危険性を回避するためには、予防的なセキュリティ投資が不可欠です。
セキュリティ強化には、設備の更新だけでなく、人材育成も含まれます。定期的に職員に対してセキュリティ教育を実施し、サイバー攻撃への認識を高めることが重要です。また、外部の専門家と連携を強化し、常に最新のセキュリティ技術を取り入れることが医療機関の安全性を確保する上での鍵となります。
