医療業界は、機密情報が多く扱われるため、ランサムウェア攻撃の標的となりやすいことが知られており、最近では、病院や医療機関でのランサムウェア攻撃が増加傾向にあります。
医療業界でのランサムウェア被害は深刻な問題ですが、正しい対応策を取ることで、被害を最小限に抑えることができます。
そこで、この記事では、病院・医療機関でのランサムウェア被害について、具体的な事例を交えて紹介し、被害を最小限に抑えるための対応手順について解説します。
目次
病院がランサムウェアに狙われやすい理由
医療業界は、ランサムウェアの標的として狙われやすい状況です。
その理由として、医療業界はセキュリティの認識やリソース不足が目立つことや、病院には患者の健康情報や個人情報、医療記録など貴重な情報が保管されていることが挙げられます。
このようなデータは秘匿性が高く、ダークウェブ上などで売却した際の資産価値も大きくなることが見込まれるため、攻撃者にとって魅力的な標的となりやすいとされます。
セキュリティ人材・体制の不足による脆弱性の放置
多くの病院では、IT部門が十分に整備されておらず、専門的なセキュリティ人材が不足しています。そのため、OSやソフトウェアの更新が遅れたり、古い機器が長期間放置されたりすることで、重大な脆弱性(セキュリティ上の穴)が生まれやすい環境となっています。
医療機器は長持ちする一方、専用OSや独自仕様が多く、セキュリティ対策が後回しにされがちです。こうした脆弱性が放置されている状況を、攻撃者は積極的に狙ってきます。十分な体制が整っていないことは、不正アクセスを容易にし、感染リスクを高める最大の要因となっています。
医療機器や電子カルテの停止による人命リスク
病院は診療や手術、緊急対応などを日々行っており、医療機器や電子カルテが停止すると、直接的に患者の命に関わるリスクが生じます。ランサムウェアによってデータが暗号化された場合、カルテが参照できずに適切な治療ができなくなったり、画像診断装置や検査機器が動かなくなったりするケースもあります。
このような停止は医療現場に甚大な混乱をもたらし、海外では実際にランサムウェアが原因で死亡者が出る事態となっています。
攻撃者はこうした特性を理解しており、「すぐに復旧したいなら金を払え」と高圧的に迫ってきます。人命が関わるため、病院側が冷静な判断をする余裕がなくなり、攻撃が成功しやすい土壌となってしまうのです。
患者情報の価値が高く、二重脅迫に利用できるため
病院が保有する患者情報は、氏名・住所・保険情報・病歴など、極めて秘匿性の高い個人情報が含まれています。このような情報は闇市場でも高額で取引されるため、攻撃者にとって非常に魅力的なターゲットです。
ランサムウェア攻撃では近年、「二重脅迫」と呼ばれる手口が増加しており、データを暗号化した上で、別途情報を窃取し、「身代金を払わなければ情報を漏洩させる」と脅すケースが多く見られます。
病院にとって情報漏えいは重大な信用問題であり、患者のプライバシーを侵害すれば訴訟や行政処分にもつながりかねません。こうした事情を逆手に取られることで、病院は極めて脅迫に弱い状態に追い込まれてしまいます。
身代金の支払い要求に応じる可能性が高いため
病院はランサムウェア攻撃に対して、身代金の支払いに応じる可能性が高い業種と見なされています。理由は単純で、医療の提供が停止すれば患者の命に関わるため、他業種に比べて時間的猶予がないからです。攻撃者はこの「追い込まれた状況」を利用して、より高額な身代金を要求します。
また、法的・倫理的な観点から「支払うべきではない」と認識していても、現場の混乱や復旧の困難さを考慮し、やむを得ず支払うケースも報告されています。こうした過去の事例が犯罪者側に「病院は金になる」という印象を与え、さらに狙われるリスクを高める要因となっています。
>【2025年最新】ランサムウェア感染時に身代金を支払うリスク
被害が報道されにくく他業種よりも狙いやすいと判断されたため
医療機関はランサムウェア被害に遭っても、それを外部に公表しない傾向があります。理由としては、患者や関係機関の信頼を失うことへの懸念、行政処分の可能性、業界内での評価低下などが挙げられます。このように被害が表面化しにくいことは、攻撃者にとって「成功しやすく、目立たない」メリットとなります。
また、医療機関はサイバー攻撃の専門的な広報対応ができる体制が整っていないことも多く、沈黙を選ぶ傾向が強いです。その結果、ランサムウェア感染の標的と化してしまい、攻撃対象としてますます優先度が上がるのです。他業種よりも守りが薄く、攻撃の成功率が高いため、病院は常に狙われやすい立場にあると言えるでしょう。
実際に発生した病院のランサムウェア感染事例
こちらでは病院で発生したランサムウェア感染事例を紹介します。
大阪の医療センターを狙った感染被害
2022年10月31日、大阪の医療センターがランサムウェア攻撃を受け、電子カルテを含むシステムが暗号化され、外来診療や各種検査が一時停止する事態となりました。攻撃の侵入口は、給食調理センターのVPN機器の脆弱性であり、攻撃者はそこからネットワークへ侵入し、同センターのサーバー認証情報を窃取した上で、病院システム全体へ攻撃を拡大させたとみられます。
逸失利益は10億円になることが見込まれ、2025年に民間事業者が連帯して、大阪府立病院機構に対し計10億円の解決金を支払うことで和解が成立しました。
出典:日経XTECH
栃木県の病院におけるランサムウェア感染被害
2025年2月10日、栃木県の宇都宮市の病院でシステム障害が発生し、電子カルテなどのシステムが使用不能となりました。調査の結果ランサムウェア感染が確認されました。
感染の結果、人間ドックや新規外来を停止し、受診内容に変更のない通院患者のみを対象に診療を継続するなど、業務に大きな制限がかかったとされます。
2月18日には、最大約30万件の患者および関係者の個人情報が外部に漏洩した可能性があると発表。漏洩の恐れがある情報には、氏名、生年月日、住所、連絡先、診療・健診データなどが含まれるとされます。
出典:日経XTECH
関連情報:病院を標的にする「Qilin(Agenda)」ランサムウェアの解説はこちら>
以上の事例のように病院がランサムウェア感染被害に遭った場合、迅速で十分な調査と対策を行うことが必要となります。特に、デジタル端末を調査解析する「フォレンジック調査」は、攻撃の原因を特定し、再発を防ぐ手段を見つけるために役立つ手段となります。
特に次のような疑問がある場合、専門家まで対応を依頼されることをおすすめします。
- 「漏えいによって個人情報が、どの範囲まで流出したのか?」
- 「漏えい情報が他の企業や組織にも影響を及ぼすのではないか?」
- 「インシデントの影響がどれくらい長期間にわたるのか?」
- 「漏えいした情報が悪用される可能性が知りたい?」
- 「問題に対して今後どのような対策を取るべきか知りたい」
\サイバーセキュリィ専門家へ24時間365日で無料相談/
ランサムウェアの被害調査は専門業者に相談する
マルウェア・ランサムウェア感染、不正アクセスのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。フォレンジック調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。法人様の場合、ご相談から最短30分で初動対応のWeb打合せも行っておりますので、お気軽にご相談ください。
官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当とエンジニアが対応させていただきます。
ランサムウェア調査会社への相談方法
インシデントが発生した際、フォレンジック調査を行うか決定していない段階でも、今後のプロセス整理のために、まずは実績のある専門会社へ相談することを推奨しています。
取引先や行政に報告する際、自社での調査だけでは、正確な情報は得られません。むしろ意図的にデータ改ざん・削除されている場合は、情報の信頼性が問われることもあります。
インシデント時は、第三者機関に調査を依頼し、情報収集を行うことを検討しましょう。
DDF(デジタルデータフォレンジック)では、フォレンジックの技術を駆使して、法人/個人を問わず、お客様の問題解決をいたします。
当社では作業内容のご提案とお見積りのご提示まで無料でご案内しております。
解析した結果は、調査報告書としてレポートを作成しています。作成した報告書には、調査で行った手順やインシデントの全容などが詳細に記載され、法執行機関にも提出可能です。
\法人様 最短30分でお打合せ可能です/
病院が取るべきランサムウェア対策
病院では万が一のランサムウェア感染などのサイバー攻撃を予防するために以下の対策を行うことを推奨します。
院内ネットワークの分離と定期的なバックアップ体制の強化
院内のネットワークを用途ごとに分離(セグメンテーション)することで、ランサムウェア感染時の被害拡大を防ぐことができます。例えば、電子カルテや医療機器、事務システムなどを同一ネットワークで運用していると、一箇所が感染した際に他のシステムにも一気に広がる危険性があります。
ネットワークを用途ごとに分け、必要最小限の通信だけを許可することで、感染の拡散を抑えることが可能になります。また、定期的なバックアップも極めて重要です。診療情報や画像データなどを外部ストレージやクラウドに自動的に保存しておくことで、万が一データが暗号化された場合でも迅速に復旧できます。復旧訓練も含め、バックアップ体制を実効性あるものとして整備することが求められます。
感染時の原因調査と証拠保全の仕組みを整える
ランサムウェア感染が発生した場合、単に復旧を急ぐだけでなく、「どこから侵入されたか」「どのように拡散したか」といった原因を明確にすることが非常に重要です。この調査を専門的に行うのが「フォレンジック(デジタル鑑識)」と呼ばれる分野です。
病院としては、外部のセキュリティ会社などと連携し、ログの取得・保存体制を日頃から整えておくことで、インシデント発生時にすぐ調査を開始できるようにしておく必要があります。また、証拠データの消失を防ぐため、感染発覚後の端末操作やログの保存方法について職員に教育しておくことも重要です。原因を特定し、再発防止策を立てるためには、こうした仕組みの整備が欠かせません。
サイバー攻撃発生時の対応手順をマニュアル化して共有する
サイバー攻撃を受けた際に、誰がどのように対応するかを事前に定めておくことは非常に重要です。特に病院では、診療や手術が継続できるかどうかが患者の命に直結するため、対応が後手に回ると甚大な被害を招く恐れがあります。
そのため、院内で発生しうるサイバーインシデントを想定した対応マニュアルを作成し、全職員に周知徹底しておく必要があります。マニュアルには、感染時の通報フロー、外部ベンダーや専門機関への連絡手順、患者情報の保護措置、業務継続のための暫定対応などを具体的に記載します。また、定期的に訓練を実施し、実際の対応力を高めておくことが求められます。準備があるかないかで、被害の大きさは大きく変わるのです。
\法人様 最短30分でお打合せ可能です/
関連リンク
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
