医療機関に対するサイバー攻撃はなぜ起こるのか？

日本各地の病院で、
サイバー攻撃の被害が発生している

医療機関に対するサイバー攻撃が度々発生しています。

2024年5月には、岡山県のある病院にて、ランサムウェアによるサイバー攻撃により、院内の電子カルテを含めた総合情報システムに障害が発生したことが報じられました。この攻撃により、職員が業務で作成した資料を保存していた共有フォルダ内における患者の氏名や病名といった個人情報が約40,000人分流出した可能性があるといいます。

2022年10月には、大阪府の病院にて、サイバー攻撃による大規模なシステム障害が発生。原因は、同病院が契約していた給食事業者のシステムに不正アクセスされ、そこから病院の給食サーバー、病院内のシステムへと、サプライチェーンを伝って電子カルテシステムなどの基幹システムが攻撃されたといいます。その結果、サーバーの大部分がランサムウェアにより暗号化、画面にはランサムノート（身代金要求文書）が表示され、システムが利用できなくなったといいます。

同病院では電子カルテが使用できなくなったことから、紙カルテによる運用に変更。さらに、全てのサーバーや端末をクリーンインストールし、全体の診療システムが復旧したのは、事故発生時から73日後のことでした。

さらに2021年10月には、徳島県の病院でも電子カルテをはじめとする院内システムがランサムウェアに感染し、同様にシステムが利用できなくなりました。こちらも復旧までには相当な時間を要し、通常診療が再開できたのは翌年の2022年1月4日でした。

病院がサイバー攻撃に狙われている理由は
「秘匿性の高い個人情報」

このような医療機関を狙ったサイバー攻撃は、日本だけでなく、世界でも発生しています。トレンドマイクロの調査によると、2023年における世界のマルウェア検出データのトップは政府機関ですが、病院などヘルスケア部門はそれに次ぐ2位だったといいます。

なぜ医療機関は、サイバー攻撃の標的となりやすいのでしょうか？ 理由にはさまざまなことが考えられますが、日本医師会総合政策研究機構が2025年1月8日に発表した「医療現場のサイバーセキュリティ確保に向けて:専門家インタビュー調査から」という資料では、医療機関は取り扱う個人情報の秘匿性の高さから、犯罪者のビジネス目的で目をつけられる可能性が高いとしています。

ほとんどの医療機関は、電子カルテというデータの形で、患者の医療記録を管理しています。この電子カルテには診療・手術歴といった、一般には出回らない情報も含まれているため、ダークウェブ（一般的な検索エンジンでは到達できない、違法な情報の取引が行われるサイト）で販売される可能性があります。もちろん、医療費の支払い時に使われたクレジットカード番号や、患者が診察時に病院側に提出した健康保険証番号も、取引の対象になり得ます。

リスクを軽減する
3つの“最低限の措置”とは

このように医療機関がサイバー攻撃者から狙われていることを受け、厚生労働省では2024年8月、国内の医療機関に対し、サイバー攻撃リスク低減のための“最低限の措置”を行うことを周知しました。

同資料では“最低限の措置”として3点の対策が指摘されています。

1つ目が、「パスワードを強固なものに変更し、使い回しをしない」ことです。これまで攻撃を受けた医療機関では、VPN装置などのパスワードが容易に推測可能だったり、4桁と短かった例が確認されているといいます。強固なパスワードの例としては、13桁以上で、かつ英数字・大文字・小文字・記号が混在し、ランダムな文字列にすることを挙げています。

2つ目が「IoT機器を含む情報資産の通信制御を確認する」ことです。たとえネットワークが閉域網であっても、医療機関が把握できていないVPN装置の外部接続点が設置されている場合があるため、関係事業者と協力してネットワーク接続点を確認し、アクセス制御が適切に実施されているかを確認すべきとしています。

3つ目が「ネットワーク機器の脆弱性に、ファームウェア等の更新を迅速に適用する」ことです。サイバー攻撃の被害を受けた医療機関では、ネットワーク機器のバージョンアップやパッチ適用、ファームウェアアップデートが適切に行われていない事例が多く、システムの侵入に悪用される恐れがあるといいます。適切な頻度で脆弱性情報の確認と更新が行われているか、事業者と連携して確認をすべきとしています。

サイバー攻撃の被害にあってしまったら

もしサイバー攻撃を受け、ランサムウェアによって金銭が要求されたとしても、厚生労働省は要求に従って支払いを行うことを禁じています。

同省は2022年11月に発表した「医療機関等におけるサイバーセキュリティ対策の強化について」という資料にて、金銭を支払ったからと言って、不正に抜き取られたデータの公開や販売を止めたり、暗号化されたデータが復元される保証はなく、それどころか、一度金銭を支払ったことで、別の攻撃を受ける可能性が増えるといいます。加えて、「サイバー攻撃をしてきた者の要求に応じて金銭を支払うことは、犯罪組織に対して支援を行うことと同義と認識」すると明言しています。

厚生労働省では医療機関に対しセキュリティ対策のリーフレットを公開しており、もしインシデントの発生が疑われる場合は、速やかに同省へ連絡することを呼びかけています。

医療機関がサイバー攻撃の標的になっていることは間違いなく、今後も苛烈な攻撃が行われることが予想されます。たとえ対策済みだとしても、定期的な見直しが求められているといえるでしょう。