医療機関はなぜ狙われるのか?~サイバー攻撃被害の事例と、効果的なセキュリティ対策を解説
index
2024/02/16(※2025/05/13 追記)
近年、病院・医療機関がランサムウェアなどのサイバー攻撃に襲われるケースが増加中です。医療機関は患者や提携企業の機密情報を大量に保有しているにもかかわらず、他業界と比べてセキュリティ対策が不十分な傾向があるため攻撃者の餌食となっています。
本記事ではセキュリティ対策のプロであるIIJ編集部が、医療業界の抱えるサイバー攻撃に関する構造的な課題を解説します。また、記事後半では具体的なセキュリティ対策なども紹介しているので、病院・医療機関のIT部門の担当者の方は最後までチェックして参考にしてみてくださいね。
なぜ病院・医療機関がランサムウェア攻撃で狙われるのか?
独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025(組織)」にあるように、企業は様々なサイバー攻撃を受けています。医療機関においてもランサムウェア攻撃を筆頭にあらゆる攻撃が行われ、甚大な被害が出ることも多いです。
情報セキュリティ10大脅威 2025(組織)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
それではなぜ、病院をはじめ医療機関がランサムウェアなどのサイバー攻撃に狙われやすいのでしょうか。まずは病院・医療機関がランサムウェア攻撃を受ける主な理由を3つ紹介します。
狙われる理由1.転売や恐喝されやすいデータを保有している
病院などの医療機関は組織内外の個人情報を数多く保有しているため、常に攻撃者によるランサムウェア攻撃を受けやすいです。例えば下記のような多様な情報は、攻撃対象となりやすい情報といえるでしょう。
- 社会保障番号
- 過去の病歴や薬歴
- 検査結果や治療内容
- 支払いに用いられるクレジットカード情報
- 組織内外のビジネスに関わる秘匿情報
患者の社会保障情報や病歴など医療機関が保有する情報は、転売・恐喝の道具として悪用されるリスクが高い情報です。個人が日頃から情報の取り扱いに注意することはもちろん、攻撃に対する組織的な対策を講じる必要があるでしょう。
例えば、病院内の医師・看護師・薬剤師や外部パートナー業者など、職務や病院との関係性ごとにアクセスできる情報を制御するのがおすすめです。近年広まりつつある「ゼロトラスト」の考え方を基にすることで、従来のシステムよりも安全なセキュリティシステムで運用・保守していきましょう。
狙われる理由2.セキュリティ対策が進んでいない
大切な個人情報を保有しておきながら、医療機関ではほかの業界と比較してセキュリティ対策が不十分な傾向があります。PCバックアップやOSアップデート、セキュリティバッチなど基本的な対策も実施されていない場合も多く、その脆弱性をランサムウェアに狙われることもしばしばです。
医療機器メーカーや医薬品関連業者など提携先のシステムと連携している場合も、自社システムや機材と同様に取り扱いに注意しましょう。万が一提携先システムに脆弱性があると、たとえ病院内のセキュリティが良好でも外部から攻撃者に侵入されてしまいます。
狙われる理由3.社会的責任から身代金の支払いに応じやすい
医療機関は情報を一度盗まれ身代金を要求されると、医療行為を提供する必要がある社会的責任の高さから要求に応じがちです。例えば攻撃による会計システムの停止や電子カルテの閲覧制限などが起これば、地域医療へ多大な影響が出てしまうでしょう。医療機関は攻撃の防止策だけでなく、攻撃を受けた後のフォロー体制も確立していく必要があります。
医療機関に対するサイバー攻撃の種類
医療機関を襲うサイバー攻撃にはいくつかの種類があります。ここで攻撃の種類と特徴を紹介します。
ランサムウェア攻撃
ターゲットの特定のファイルを暗号化し、業務などで使えない状態にしたうえで、ファイルを元に戻すことと引き換えに身代金を要求するのが特徴です。医療機関は社会的責任が重いため、このランサムウェアによる身代金要求に応じてしまいがちです。しかし、仮に身代金を支払ったとしても、攻撃者がファイルの暗号化を元に戻すとは限らず、さらなる要求の可能性もあるでしょう。
なお、ランサムウェア攻撃の侵入経路はVPNであることが多いため、従来よりもゼロトラストのセキュリティ体制を構築するのが良いでしょう。もし侵入を許したとしても、ゼロトラストであれば閲覧できる情報は限られているため被害を最小限に抑えることが可能です。
標的型攻撃メール
特定の組織や個人を標的にするサイバー攻撃で、メールを介して悪意のあるプログラムやURLを送りつけるというものです。不特定多数のメールアドレスに送るのではなく、特定の医療機関の秘匿情報やセキュリティ体制などを調べたうえで実行されます。
メールの内容は「実在する医療関係者を装う」「特定の学会関連のメールと思わせる」など、受信者を誤認させて添付ファイルを開封させるものが多いです。誤って添付ファイルの開封やURLクリックなどをしてしまうと、端末がマルウェアに感染したり、機密情報を盗まれたりしてしまいます。
サプライチェーン攻撃
製品調達から商品販売・消費までの「サプライチェーン」というサービス供給網の仕組みを悪用するサイバー攻撃で、近年では業界問わず流行しています。医療業界の場合、例えば一般病院とその系列クリニック・医療機器メーカーなどの業務上のつながりを利用して、サプライチェーン攻撃を仕掛けて重要なデータを盗みます。
たとえ病院自体のセキュリティ体制が万全でも、医療機器メーカーなどの提携先のセキュリティが脆弱だとこのサプライチェーン攻撃による被害を被ってしまうでしょう。医療機関は関係先・提携先が多いため、このサプライチェーン攻撃を受けやすい傾向にあるので注意が必要です。
日本国内の医療機関におけるサイバー攻撃の主な事例
それでは近年、日本国内で発生した主だったサイバー攻撃被害の事例を見ていきましょう。
サイバー攻撃被害の事例
- 2018年10月
奈良県の病院でランサムウェア被害。電子カルテシステムが使用できなくなり、復旧まで紙カルテの運用を余儀なくされた。原因は職員が私物PCでネットワーク機器に接続したためとみられる。 - 2019年5月
東京都の医療センターの職員端末が不正アクセスを受け、端末内の情報が流出。被害は当該職員の職務用PC 端末のメールボックスのみで、ファイルサーバへの不正アクセスは無かった。原因は職員宛メールの添付ファイルを開封した事によってマルウェア「Emotet亜種」に感染したため。 - 2020年12月
福島県の病院で2017年8月からコンピュータウイルス「WannaCry」の感染が原因とみられる検査機器の不具合が複数部署で発生していたと公表。現時点で身代金の要求やデータ流出は確認されていない。 - 2021年10月
徳島県の病院がランサムウェア「Lockbit 2.0」攻撃による被害。病院内の十数台のプリンタから英文の「犯行声明」が出力された。8万5千人分の電子カルテや院内LANが使用不能になり、会計システムで診察費の請求もできなくなったため、一部の診療科を除き新規患者の受け入れを中止。復旧に2か月を要した。 - 2022年1月
東京都の病院で院内サーバーがコンピュータウイルスに感染。電子カルテが閲覧不能になり、会計システムも停止。診療を一部停止し、診療費を後日請求する事態に。 - 2022年6月
徳島県の病院でランサムウェア「Lockbit 2.0」 によるシステムへの侵入被害。電子カルテ、院内LANシステムが使用不能に。オフラインバックアップによって早期に復旧。 - 2022年10月
大阪の医療センターでランサムウェア攻撃被害。電子カルテなどが暗号化され、外来診療や各種検査が停止し、復旧に2か月を要した。ランサムウェアの侵入口は給食委託事業者のVPN装置とされる。
これらはあくまでも一部です。中でも2022年の徳島県の病院の事例では、医療機関におけるランサムウェア被害の詳細がレポートとして公表され、その深刻さが浮き彫りになりました。
同病院は10年前に紙カルテから電子カルテに切り替え、会計システムを連動させて診療報酬の算定や請求業務を行っていました。攻撃により電子カルテが使えなくなったことで会計システムも機能しなくなりました。さらに、復旧に長期間かかり、新規患者の受け入れも停止せざるを得なくなりました。同病院は災害対策本部を設置し、カルテがない中でスタッフが来院患者から手術歴やアレルギー情報などを聞き取り、紙カルテへの手書きで対応。患者本人の記憶があいまいな場合は、調剤薬局に問い合わせて薬剤服用歴をもとに診察を行うといった対応が続きました。電子カルテシステムが完全に復旧するまで2ヶ月強。被害額は、調査・復旧費用で数億円以上、診療制限などの逸失利益は数十億円以上に上ると報じられています。
参考:日本医師会総合政策研究機構「日本の医療機関におけるサイバー攻撃の事例」
なぜ対策が進まない?国内医療セキュリティにおける構造上の課題
国内医療はなぜセキュリティ体制が脆弱なままなのでしょうか。他業界にはない医療業界に横たわる「3つの構造上の課題」について解説します。
医療セキュリティの課題1.人的リソースの不足
医療セキュリティを盤石にするためには、人的リソースを十分に確保する必要がありますが、一般病院・クリニックなどではセキュリティのための人員が慢性的に不足しているのが現状です。特に200床未満の中・小規模のクリニックでは、事務部門のスタッフが本来の業務の傍ら、ITシステムの運用・保守を兼任する場合もあるほど、セキュリティのための人員は確保できていません。また、大学病院など大手医療機関においても人員・ナレッジが不足し、提携先のシステムについてのリサーチまでは手が回っていません。
近年では医療情報部など「組織の医療情報をガバナンスする部門」を設置する取り組みも大手を中心に広まりつつあるものの、それでも業界全体ではまだリソース不足によるセキュリティの脆弱性は払しょくできていないといえるでしょう。
医療セキュリティの課題2.少ないIT予算
セキュリティに関して金銭的なコストもあまり割けていないことも、セキュリティ体制が不十分な状況のひとつです。日本病院会「四病院団体協議会 セキュリティアンケート調査結果」によれば、年間のセキュリティ予算が500万円未満の病院が半数を占めるという調査結果が出ており、コストセンターともされるITシステムはほか予算よりも優先度が低めであることがわかります。医業収益を生む診療や検査への投資は大切ですが、攻撃によるリスクを考慮すればITシステムは軽視すべきではないでしょう。
もし現行のセキュリティ体制を強化する際に高コスト且つ煩雑な工数がかかってしまいそうな場合は、クラウド上で一元管理できるゼロトラストモデルのセキュリティサービスがおすすめです。人的リソースも削減できるうえに、サービス提供側に運用・保守を任せることも可能なため、効率的にセキュリティ体制を構築したい場合は検討してみてはいかがでしょうか。
医療セキュリティの課題3.システムベンダー依存
医療機関によるITシステムの運用・保守は、電子カルテベンダーや部門システムベンダーに丸投げされることが多く、セキュリティ対策もその範囲内での業者任せとなっています。また、外部ベンダーとの間でもセキュリティ対策が保守契約範囲に含まれるかの協議が曖昧で、適切な対策が実行されている医療機関は決して多くはありません。外部に依存するのではなく、並走するかたちでシステムを運用していくことが大切です。
医療機関のサイバーリスクをめぐる変化
近年特にサイバー攻撃に狙われている医療業界では、サイバーリスクに対抗するべく徐々に変化が起きています。ここで主な変化2つを紹介します。
セキュリティ管理体制の構築の必要性
いくつかの大きなセキュリティインシデントの中には、病院側のセキュリティシステムの適切な運用ができてさえいれば未然に防げたものもあることが指摘できます。
例えば、2022年10月の大阪の医療センターでのサプライチェーン攻撃は、未然にセキュリティインシデントを防止できた代表例といえるでしょう。本件では医療センターで使用しているVPN機器の脆弱性が悪用されたのですが、メーカーから周知されていた脆弱性のない最新版アップデートを病院側が適切に実施していれば防止できていました。
従来、医療業界のセキュリティ体制はベンダー依存の傾向が強く、進化するサイバー攻撃に対応しきれていませんでした。今後は病院側がガバナンスを徹底して、能動的にセキュリティインシデントを防いでいく必要があるでしょう。
厚生労働省による安全管理ガイドライン改訂
病院など民間の医療機関だけでなく、厚生労働省も医療業界に対するサイバー攻撃対策強化の方針を示しています。2023年5月31日、厚生労働省は「医療情報システムの安全管理に関するガイドライン第6.0版」を公開し、サイバーセキュリティの確保を遵守事項として病院などの管理者側に求めています。「外部委託・外部サービスの利用に関する整理」や「情報セキュリティに関する考え方の整理」「新技術、制度・規格の変更への対応」といったポイントを改訂しています。
また、医療法第25条第1項に基づく「立ち入り検査」に関して、サイバーセキュリティに関する項目を追加しました。これにより復旧手順の検討およびサイバー攻撃を想定した訓練なども、立ち入り検査項目として設定されました。さらに「診療報酬」改訂においても、400床以上の保険医療機関に対し、医療情報システム安全管理責任者の配置および院内研修の実施が要件として追加しています。
国も医療機関のセキュリティインシデントの課題を克服しようと、民間とともに意識改革を行っているといえるでしょう。
医療機関が実施するべきランサムウェア対策とは
ここまで、医療機関を取り巻くサイバー攻撃の実態と被害のリスク、そして対策が難しい事情についてお伝えしました。ここからは、これらの背景を踏まえて医療機関が取り組むべき対策について解説します。
病院をはじめとする医療機関が実施すべき基本的な対策として、以下の5項目が挙げられます。
- VPN機器のセキュリティ強化
- 攻撃の「早期検知・対処」ツールの導入
- 多要素認証やSSOの導入
- セキュリティインシデント発生時の対応計画策定
- サプライチェーンリスクへの対策
1. VPN機器のセキュリティ強化
前述の通り、医療機関や病院へのサイバー攻撃は、VPNの脆弱性を狙ったものが増加しています。そのため、「VPN機器の認証やパスワードを見直す」「最新のパッチ適用やアップデートの定期的な実行」といった基本的な対策を行いましょう。なお、より強固なセキュリティ体制を構築したい場合は“脱VPN”を検討するのもおすすめです。
2. 攻撃の「早期検知・対処」ツールの導入
攻撃者がネットワークへ侵入してくることを前提とした、不正アクセスを素早く検知・対策できるセキュリティツールの導入も欠かせません。具体的には、外部ネットワークと内部ネットワークの境界を守るファイアウォール、ネットワークに侵入された時点で検知・ブロックするIDS(不正侵入検知システム)/IPS(不正侵入防御システム)、さらに、ネットワーク全体を監視し脅威を検知・対処するNDR(Network Detection and Response)などの導入を検討しましょう。
3. 多要素認証やSSOの導入
強固な認証を実現するための、「多要素認証」とSSO(シングルサインオン)の導入も検討しましょう。多要素認証とは、通常のID / パスワードによるログイン条件に加え、指紋や顔を用いた生体認証、スマートフォンを用いたワンタイムパスワードなどを組み合わせて行う認証方法です。多要素認証を導入することで、万一PCやVPNのログインIDやパスワードが流出した場合でも、攻撃者からの不正アクセスを防ぐことが可能になります。
SSOとは、1度のユーザー認証で複数のシステムの利用が可能になる仕組みです。利用するシステムやサービスごとに個別のIDやパスワードを用いると管理がしづらく漏洩のリスクも高まります。多要素認証とセットで提供されるサービスも多いので併せて検討しましょう。
4. セキュリティインシデント発生時の対応計画を策定
万が一サイバー攻撃を受けた際、迅速かつ効果的な対処を行うための対処法を体系的に取りまとめた、「インシデント対応計画」の策定も必要不可欠です。インシデントが発覚した時点での内部・外部への連絡体制、電子カルテなどのデータが破損した際にも滞りなく医療業務を継続するために、バックアップおよび復旧の手順などを具体的に取りまとめましょう。また、平時から定期的にデータ復旧などのテストや訓練を実施することも重要です。
5. サプライチェーンリスクへの対策
前述の通り、現在では自組織のみではなく、関連事業社全体におけるセキュリティレベル向上と、体制の構築が欠かせなくなってきています。今や医療機関のITシステムはさまざまな取引先やパートナー事業社とネットワークでつながっているため、ここを放置すると関連事業者を踏み台にして、院内のシステムに不正に侵入されるリスクがあります。
取引先・パートナー事業社とのサプライチェーンリスクへの対策としては、以下のような項目が挙げられます。
- 取引先・パートナー事業社との間で、委託先に実施を求める具体的な対策、インシデント発生時の初動対応および報告手順など、情報セキュリティの責任範囲と対策方法を明文化する
- 取引先・パートナー事業社と定期的な情報共有の場を設け、サプライチェーンに関するリスク分析および対策計画の共有を実施する
- アクセス制御によるマイクロセグメンテーションを行うことで、万が一ランサムウェアに感染した場合においても影響を最小限にとどめる
病院・医療機関をランサムウェア攻撃から守ろう
近年、医療機関でのランサムウェア攻撃被害が相次いで発生し、その被害の深刻さが報じられることが増えています。本記事では、主だった被害事例を紐解きながら、なぜ病院をはじめとする医療機関が狙われるのか、ランサムウェア攻撃に感染するとどうなるのか、なぜ医療機関ではセキュリティ対策が進めづらいのか、という医療機関特有の問題点と効果的な対策を解説しました。
病院、診療所などの医療機関でセキュリティ対策にあたられる方はもちろん、医療業界にサービスを提供するメーカーやベンダーの方々の対応策検討にも参考になれば幸いです。
医療機関のサイバーセキュリティ対策に有効なサービス IIJ Safous ZTA
IIJでは、医療機関に対するサイバー攻撃リスクを軽減するサービスとして、IIJ Safous ZTAを提供しています。
ゼロトラストの考えに則ったITソリューションサービスで、組織内外の不審なアクセスを常時細かく制御します。例えば、医師には診療履歴などへのアクセス権を付与する一方で、看護師には患者のバイタルサインなどへのアクセス権を付与し、さらにはパートナー企業の担当者に必要な部署のみにアクセス付与するなど、職務や関係性ごとにアクセス制御をかけることが可能です。
そのほか時間帯毎の制御や多段階認証、自動システムアップデートなど最新のセキュリティ体制に必要不可欠な機能を備えています。
導入も簡単で、お客様のネットワークにはApp Gatewayを設置するだけ。ユーザの端末はWebブラウザを経由して最寄りのSafous POPを自動選択します。これにより認証と細かなアクセス制御を実現し、端末のセキュリティ状態に関わらず、セキュアに社内のリソースにアクセスすることが可能になります。
サービスについてより詳しくは、下記からご参照ください。
IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス
医療機関のセキュリティ脅威対策でお悩みの際は、ぜひIIJまでお気軽にお問い合わせください。
