医療機関はなぜ狙われるのか?~サイバー攻撃被害の事例と、効果的なセキュリティ対策を解説
index
2024/02/16(※2025/06/17 追記)
近年、病院・医療機関がランサムウェアなどのサイバー攻撃に襲われるケースが増加中です。医療機関は患者や提携企業の機密情報を大量に保有しているにもかかわらず、他業界と比べてセキュリティ対策が不十分な傾向があるため攻撃者の餌食となっています。
本記事ではセキュリティ対策のプロであるIIJ編集部が、医療業界の抱えるサイバー攻撃に関する構造的な課題を解説します。また、記事後半では具体的なセキュリティ対策なども紹介しているので、病院・医療機関のIT部門の担当者の方は最後までチェックして参考にしてみてくださいね。
【ランサムウェアとは?】医療機関に対するサイバー攻撃の種類
医療機関を襲うサイバー攻撃にはいくつかの種類があります。ここで攻撃の種類と特徴を紹介します。
ランサムウェア攻撃
ターゲットの特定のファイルを暗号化し、業務などで使えない状態にしたうえで、ファイルを元に戻すことと引き換えに身代金を要求するのが特徴です。医療機関は社会的責任が重いため、このランサムウェアによる身代金要求に応じてしまいがちです。しかし、仮に身代金を支払ったとしても、攻撃者がファイルの暗号化を元に戻すとは限らず、さらなる要求の可能性もあるでしょう。
なお、ランサムウェア攻撃の侵入経路はVPNであることが多いため、従来よりもゼロトラストのセキュリティ体制を構築するのが良いでしょう。もし侵入を許したとしても、ゼロトラストであれば閲覧できる情報は限られているため被害を最小限に抑えることが可能です。
標的型攻撃メール
特定の組織や個人を標的にするサイバー攻撃で、メールを介して悪意のあるプログラムやURLを送りつけるというものです。不特定多数のメールアドレスに送るのではなく、特定の医療機関の秘匿情報やセキュリティ体制などを調べたうえで実行されます。
メールの内容は「実在する医療関係者を装う」「特定の学会関連のメールと思わせる」など、受信者を誤認させて添付ファイルを開封させるものが多いです。誤って添付ファイルの開封やURLクリックなどをしてしまうと、端末がマルウェアに感染したり、機密情報を盗まれたりしてしまいます。
サプライチェーン攻撃
製品調達から商品販売・消費までの「サプライチェーン」というサービス供給網の仕組みを悪用するサイバー攻撃で、近年では業界問わず流行しています。医療業界の場合、例えば一般病院とその系列クリニック・医療機器メーカーなどの業務上のつながりを利用して、サプライチェーン攻撃を仕掛けて重要なデータを盗みます。
たとえ病院自体のセキュリティ体制が万全でも、医療機器メーカーなどの提携先のセキュリティが脆弱だとこのサプライチェーン攻撃による被害を被ってしまうでしょう。医療機関は関係先・提携先が多いため、このサプライチェーン攻撃を受けやすい傾向にあるので注意が必要です。
なぜ病院・医療機関がランサムウェア攻撃で狙われるのか?
独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025(組織)」にあるように、企業は様々なサイバー攻撃を受けています。医療機関においてもランサムウェア攻撃を筆頭にあらゆる攻撃が行われ、甚大な被害が出ることも多いです。
情報セキュリティ10大脅威 2025(組織)
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
|---|---|---|---|
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
それではなぜ、病院をはじめ医療機関がランサムウェアなどのサイバー攻撃に狙われやすいのでしょうか。まずは病院・医療機関がランサムウェア攻撃を受ける主な理由を3つ紹介します。
狙われる理由1.転売や恐喝されやすいデータを保有している
病院などの医療機関は組織内外の個人情報を数多く保有しているため、常に攻撃者によるランサムウェア攻撃を受けやすいです。例えば下記のような多様な情報は、攻撃対象となりやすい情報といえるでしょう。
- 社会保障番号
- 過去の病歴や薬歴
- 検査結果や治療内容
- 支払いに用いられるクレジットカード情報
- 組織内外のビジネスに関わる秘匿情報
患者の社会保障情報や病歴など医療機関が保有する情報は、転売・恐喝の道具として悪用されるリスクが高い情報です。個人が日頃から情報の取り扱いに注意することはもちろん、攻撃に対する組織的な対策を講じる必要があるでしょう。
例えば、病院内の医師・看護師・薬剤師や外部パートナー業者など、職務や病院との関係性ごとにアクセスできる情報を制御するのがおすすめです。近年広まりつつある「ゼロトラスト」の考え方を基にすることで、従来のシステムよりも安全なセキュリティシステムで運用・保守していきましょう。
狙われる理由2.セキュリティ対策が進んでいない
大切な個人情報を保有しておきながら、医療機関ではほかの業界と比較してセキュリティ対策が不十分な傾向があります。PCバックアップやOSアップデート、セキュリティバッチなど基本的な対策も実施されていない場合も多く、その脆弱性をランサムウェアに狙われることもしばしばです。
医療機器メーカーや医薬品関連業者など提携先のシステムと連携している場合も、自社システムや機材と同様に取り扱いに注意しましょう。万が一提携先システムに脆弱性があると、たとえ病院内のセキュリティが良好でも外部から攻撃者に侵入されてしまいます。
狙われる理由3.社会的責任から身代金の支払いに応じやすい
医療機関は情報を一度盗まれ身代金を要求されると、医療行為を提供する必要がある社会的責任の高さから要求に応じがちです。例えば攻撃による会計システムの停止や電子カルテの閲覧制限などが起これば、地域医療へ多大な影響が出てしまうでしょう。医療機関は攻撃の防止策だけでなく、攻撃を受けた後のフォロー体制も確立していく必要があります。
【2025年最新】日本国内の医療機関における主なサイバー攻撃事例
ここからは日本国内の医療機関で発生した主なサイバー攻撃を紹介します。なお、サイバー攻撃の最新動向も追えるように、2024年以降に発生・発覚した事例のみをまとめています。
岡山県の精神科医療センターにてランサムウェア攻撃
2025年2月13日、岡山県にある精神医療センターが、サイバー攻撃により電子カルテを含めた総合情報システムに支障が生じたことを発表しました。全カルテが閲覧できなくなったほか、患者の氏名・住所・生年月日といった個人情報や病棟会議の議事録が流出したとのことです。医療機関側はガイドラインを遵守したシステムの構築による、再発防止とセキュリティ対策強化を図るとしています。
千葉県の国立研究開発法人の併設病院でランサムウェア攻撃
2025年1月11日、研究開発機構の診療業務用ネットワークとは独立しているシステムなどに、症例情報がターゲットのランサムウェア被害が発生しました。症例情報はすべて匿名化されているため、患者などの個人情報は含まれておらず、また病院の業務に影響していないとのことです。侵入経路はネットワーク機器であり、ソフトウェアの更新が不適切且つ複数サーバの管理者アカウントで同一のパスワードで認証していたことから、不正侵入を許してしまいました。
現在、医療施設側はいくつか改善策を実施しており、その中でもパスワード体制を強化する代表的な施策である「MFA(多要素認証)」を導入し、効率的に複数の情報で認証するシステムを構築しているのはベターな改善策といえるでしょう。
【関連コラム】ゼロトラストとMFA(多要素認証)・SSO(シングル・サインオン)の関係
秋田県の医療療育センターでWebサイト改ざん
2024年7月1日、秋田県にある医療センターがサイバー攻撃被害に遭ったことを発表しました。医療施設のWebサイトが攻撃者によって改ざんされ、本来とは異なるページが表示されていたのです。Webサイト上で入力された個人情報などはサイト内で保存・管理していないため、情報流出といった重大な被害にまでは広がっていません。疑われるマルウェア感染は確認されていないものの、医療施設側は「改ざんされていた期間に同サイトへアクセスしている場合にはセキュリティチェックしてほしい」と呼びかけています。
徳島県の一般病院のWebサイト改ざん
2024年6月24日、徳島県の地域密着型の一般病院が、不正アクセスによるサイト改ざん被害を発表しました。サイト上で個人情報を取り扱っていないため、情報流出などはないとのことです。改ざんされていた期間にアクセスした場合は、セキュリティソフト更新・ブラウザキャッシュクリアなどの対応を訪問者に求めています。
千葉県の一般病院にて不正アクセス
2024年6月24日、千葉県の一般病院がWebサイトについて不正アクセスによって改ざんされたと発表しました。前述の徳島県の一般病院と同一の医療法人が運営する病院、且つ同タイミングでの不正アクセスのため、攻撃者が特定の病院グループに向けて攻撃を実施したと思われます。徳島県の病院と同じく、情報流出などの被害は出ていないとのことです。
近年、上記のような同一グループ内の複数の組織に連鎖的に攻撃を加えるケースが増えています。巨大な病院グループをはじめ海外現地法人を抱えるグローバル企業など、情報セキュリティガバナンスの徹底が難しい規模感の企業・組織に対して、横展開攻撃・サプライチェーン攻撃などが繰り返されているのです。グローバル企業などに対するサイバー攻撃とその対策については下記記事をご覧ください。
【関連コラム】情報セキュリティガバナンスとは?実践方法とグローバル展開における重要性
大阪府の大学病院にて個人情報漏洩
2024年5月13日、大阪府の大学病院がインターネット利用時のサポート詐欺被害を発表しました。産婦人科の非常勤医師がインターネット利用時にサポート詐欺の被害に遭ってしまい、患者データを無断で院外に持ち出してしまっていたそうです。また、妊婦検診時の胎児エコー動画について、人的な操作ミスによって別の利用者に提供していたことも発覚しています。同病院のように人的ミスを含むインシデントが連続することは珍しくなく、セキュリティガバナンスやセキュリティ研修の徹底が求められるでしょう。
なぜ対策が進まない?国内医療セキュリティにおける構造上の課題
国内医療はなぜセキュリティ体制が脆弱なままなのでしょうか。他業界にはない医療業界に横たわる「3つの構造上の課題」について解説します。
医療セキュリティの課題1.人的リソースの不足
医療セキュリティを盤石にするためには、人的リソースを十分に確保する必要がありますが、一般病院・クリニックなどではセキュリティのための人員が慢性的に不足しているのが現状です。特に200床未満の中・小規模のクリニックでは、事務部門のスタッフが本来の業務の傍ら、ITシステムの運用・保守を兼任する場合もあるほど、セキュリティのための人員は確保できていません。また、大学病院など大手医療機関においても人員・ナレッジが不足し、提携先のシステムについてのリサーチまでは手が回っていません。
近年では医療情報部など「組織の医療情報をガバナンスする部門」を設置する取り組みも大手を中心に広まりつつあるものの、それでも業界全体ではまだリソース不足によるセキュリティの脆弱性は払しょくできていないといえるでしょう。
医療セキュリティの課題2.少ないIT予算
セキュリティに関して金銭的なコストもあまり割けていないことも、セキュリティ体制が不十分な状況のひとつです。日本病院会「四病院団体協議会 セキュリティアンケート調査結果」によれば、年間のセキュリティ予算が500万円未満の病院が半数を占めるという調査結果が出ており、コストセンターともされるITシステムはほか予算よりも優先度が低めであることがわかります。医業収益を生む診療や検査への投資は大切ですが、攻撃によるリスクを考慮すればITシステムは軽視すべきではないでしょう。
もし現行のセキュリティ体制を強化する際に高コスト且つ煩雑な工数がかかってしまいそうな場合は、クラウド上で一元管理できるゼロトラストモデルのセキュリティサービスがおすすめです。人的リソースも削減できるうえに、サービス提供側に運用・保守を任せることも可能なため、効率的にセキュリティ体制を構築したい場合は検討してみてはいかがでしょうか。
医療セキュリティの課題3.システムベンダー依存
医療機関によるITシステムの運用・保守は、電子カルテベンダーや部門システムベンダーに丸投げされることが多く、セキュリティ対策もその範囲内での業者任せとなっています。また、外部ベンダーとの間でもセキュリティ対策が保守契約範囲に含まれるかの協議が曖昧で、適切な対策が実行されている医療機関は決して多くはありません。外部に依存するのではなく、並走するかたちでシステムを運用していくことが大切です。
医療機関のサイバーリスクをめぐる変化
近年特にサイバー攻撃に狙われている医療業界では、サイバーリスクに対抗するべく徐々に変化が起きています。ここで主な変化2つを紹介します。
セキュリティ管理体制の構築の必要性
いくつかの大きなセキュリティインシデントの中には、病院側のセキュリティシステムの適切な運用ができてさえいれば未然に防げたものもあることが指摘できます。
例えば、2022年10月の大阪の医療センターでのサプライチェーン攻撃は、未然にセキュリティインシデントを防止できた代表例といえるでしょう。本件では医療センターで使用しているVPN機器の脆弱性が悪用されたのですが、メーカーから周知されていた脆弱性のない最新版アップデートを病院側が適切に実施していれば防止できていました。
従来、医療業界のセキュリティ体制はベンダー依存の傾向が強く、進化するサイバー攻撃に対応しきれていませんでした。今後は病院側がガバナンスを徹底して、能動的にセキュリティインシデントを防いでいく必要があるでしょう。
厚生労働省による安全管理ガイドライン改訂
病院など民間の医療機関だけでなく、厚生労働省も医療業界に対するサイバー攻撃対策強化の方針を示しています。2023年5月31日、厚生労働省は「医療情報システムの安全管理に関するガイドライン第6.0版」を公開し、サイバーセキュリティの確保を遵守事項として病院などの管理者側に求めています。「外部委託・外部サービスの利用に関する整理」や「情報セキュリティに関する考え方の整理」「新技術、制度・規格の変更への対応」といったポイントを改訂しています。
また、医療法第25条第1項に基づく「立ち入り検査」に関して、サイバーセキュリティに関する項目を追加しました。これにより復旧手順の検討およびサイバー攻撃を想定した訓練なども、立ち入り検査項目として設定されました。さらに「診療報酬」改訂においても、400床以上の保険医療機関に対し、医療情報システム安全管理責任者の配置および院内研修の実施が要件として追加しています。
国も医療機関のセキュリティインシデントの課題を克服しようと、民間とともに意識改革を行っているといえるでしょう。
医療機関が実施するべきランサムウェア対策とは
ここまで、医療機関を取り巻くサイバー攻撃の実態と被害のリスク、そして対策が難しい事情についてお伝えしました。ここからは、これらの背景を踏まえて医療機関が取り組むべき対策について解説します。
病院をはじめとする医療機関が実施すべき基本的な対策として、以下の5項目が挙げられます。
- VPN機器のセキュリティ強化
- 攻撃の「早期検知・対処」ツールの導入
- 多要素認証やSSOの導入
- セキュリティインシデント発生時の対応計画策定
- サプライチェーンリスクへの対策
1. VPN機器のセキュリティ強化
前述の通り、医療機関や病院へのサイバー攻撃は、VPNの脆弱性を狙ったものが増加しています。そのため、「VPN機器の認証やパスワードを見直す」「最新のパッチ適用やアップデートの定期的な実行」といった基本的な対策を行いましょう。なお、より強固なセキュリティ体制を構築したい場合は“脱VPN”を検討するのもおすすめです。
2. 攻撃の「早期検知・対処」ツールの導入
攻撃者がネットワークへ侵入してくることを前提とした、不正アクセスを素早く検知・対策できるセキュリティツールの導入も欠かせません。具体的には、外部ネットワークと内部ネットワークの境界を守るファイアウォール、ネットワークに侵入された時点で検知・ブロックするIDS(不正侵入検知システム)/IPS(不正侵入防御システム)、さらに、ネットワーク全体を監視し脅威を検知・対処するNDR(Network Detection and Response)などの導入を検討しましょう。
3. 多要素認証やSSOの導入
強固な認証を実現するための、「多要素認証」とSSO(シングルサインオン)の導入も検討しましょう。多要素認証とは、通常のID / パスワードによるログイン条件に加え、指紋や顔を用いた生体認証、スマートフォンを用いたワンタイムパスワードなどを組み合わせて行う認証方法です。多要素認証を導入することで、万一PCやVPNのログインIDやパスワードが流出した場合でも、攻撃者からの不正アクセスを防ぐことが可能になります。
SSOとは、1度のユーザー認証で複数のシステムの利用が可能になる仕組みです。利用するシステムやサービスごとに個別のIDやパスワードを用いると管理がしづらく漏洩のリスクも高まります。多要素認証とセットで提供されるサービスも多いので併せて検討しましょう。
4. セキュリティインシデント発生時の対応計画を策定
万が一サイバー攻撃を受けた際、迅速かつ効果的な対処を行うための対処法を体系的に取りまとめた、「インシデント対応計画」の策定も必要不可欠です。インシデントが発覚した時点での内部・外部への連絡体制、電子カルテなどのデータが破損した際にも滞りなく医療業務を継続するために、バックアップおよび復旧の手順などを具体的に取りまとめましょう。また、平時から定期的にデータ復旧などのテストや訓練を実施することも重要です。
5. サプライチェーンリスクへの対策
前述の通り、現在では自組織のみではなく、関連事業社全体におけるセキュリティレベル向上と、体制の構築が欠かせなくなってきています。今や医療機関のITシステムはさまざまな取引先やパートナー事業社とネットワークでつながっているため、ここを放置すると関連事業者を踏み台にして、院内のシステムに不正に侵入されるリスクがあります。
取引先・パートナー事業社とのサプライチェーンリスクへの対策としては、以下のような項目が挙げられます。
- 取引先・パートナー事業社との間で、委託先に実施を求める具体的な対策、インシデント発生時の初動対応および報告手順など、情報セキュリティの責任範囲と対策方法を明文化する
- 取引先・パートナー事業社と定期的な情報共有の場を設け、サプライチェーンに関するリスク分析および対策計画の共有を実施する
- アクセス制御によるマイクロセグメンテーションを行うことで、万が一ランサムウェアに感染した場合においても影響を最小限にとどめる
病院・医療機関をランサムウェア攻撃から守ろう
近年、医療機関でのランサムウェア攻撃被害が相次いで発生し、その被害の深刻さが報じられることが増えています。本記事では、主だった被害事例を紐解きながら、なぜ病院をはじめとする医療機関が狙われるのか、ランサムウェア攻撃に感染するとどうなるのか、なぜ医療機関ではセキュリティ対策が進めづらいのか、という医療機関特有の問題点と効果的な対策を解説しました。
病院、診療所などの医療機関でセキュリティ対策にあたられる方はもちろん、医療業界にサービスを提供するメーカーやベンダーの方々の対応策検討にも参考になれば幸いです。
医療機関のサイバーセキュリティ対策に有効なサービス IIJ Safous ZTA
IIJでは、医療機関に対するサイバー攻撃リスクを軽減するサービスとして、IIJ Safous ZTAを提供しています。
ゼロトラストの考えに則ったITソリューションサービスで、組織内外の不審なアクセスを常時細かく制御します。例えば、医師には診療履歴などへのアクセス権を付与する一方で、看護師には患者のバイタルサインなどへのアクセス権を付与し、さらにはパートナー企業の担当者に必要な部署のみにアクセス付与するなど、職務や関係性ごとにアクセス制御をかけることが可能です。
そのほか時間帯毎の制御や多段階認証、自動システムアップデートなど最新のセキュリティ体制に必要不可欠な機能を備えています。
導入も簡単で、お客様のネットワークにはApp Gatewayを設置するだけ。ユーザの端末はWebブラウザを経由して最寄りのSafous POPを自動選択します。これにより認証と細かなアクセス制御を実現し、端末のセキュリティ状態に関わらず、セキュアに社内のリソースにアクセスすることが可能になります。
サービスについてより詳しくは、下記からご参照ください。
IIJ Safous ZTA - ゼロトラスト・セキュリティに基づいたセキュアアクセスサービス
医療機関のセキュリティ脅威対策でお悩みの際は、ぜひIIJまでお気軽にお問い合わせください。
