近年、病院を狙ったランサムウェア被害が増加しており、医療機関におけるサイバーセキュリティの重要性がますます高まっています。
内閣サイバーセキュリティセンター(NISC)も警鐘を鳴らしており、医療機関が迅速に対策を講じることが求められています。特に、システムのセキュリティ強化や職員への教育、復旧計画の策定が急務です。
本記事では、ランサムウェアによる被害の実態や損害、効果的な対策、そして具体的な被害事例を解説します。
関連記事:医療機関へのサイバー攻撃対策のヒント(2024年最新版)
目次
病院がランサムウェア攻撃される理由
病院は、患者の個人情報や病歴といった機密性の高いデータを大量に扱っており、こうした情報は転売や恐喝に悪用される可能性が高いため、攻撃者にとって魅力的な標的となります。
また、病院は24時間体制で稼働しているため、システムが停止すれば生命に直結するリスクが伴います。さらに、多くの病院でセキュリティ対策が十分に整備されておらず、脆弱性を抱えたまま運用されていることも、攻撃を受けやすい要因の一つです。
そもそもランサムウェアとは
ランサムウェアとは、感染したシステムのデータを暗号化し、復元のための身代金を要求する悪意あるソフトウェアです。近年では、暗号化だけでなく、データを窃取した上で「支払わなければ情報を公開する」といった二重恐喝(ダブルエクストーション)が増加しています。
攻撃者は多様な手口で脅迫を行います。例えば、システムを乗っ取った後、画面に脅迫メッセージを表示させたり、プリンタから脅迫文を印刷させたりするケースが確認されています。
関連記事:ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説
病院におけるサイバーリスクの変化
従来、医療機関は直接攻撃の対象とされることが多く、病院のネットワークやシステム自体が攻撃されていました。しかし、近年ではサプライチェーン攻撃による侵入が増加しています。
このように、サイバー攻撃は医療機関単体ではなく、周辺のシステムや関係企業全体を含む広範囲なリスクへと変化しており、包括的な対策が必要です。
ランサムウェアの感染経路
ランサムウェアの主な感染経路はフィッシングメールです。特に、取引先を装った請求書メールに添付されたファイルや本文中のURLをクリックすることで感染が広がるケースが多発しています。
また、不正リンクや偽装されたWebサイトを通じて感染するケースも増えています。さらに、USBメモリや外付けHDDなどの外部記憶媒体を介した感染も確認されています。
ランサムウェアによる病院の損害
ランサムウェア攻撃は、病院の業務に深刻な影響を及ぼします。ここでは、主な損害について詳しく解説します。
業務が停滞する
ランサムウェア感染によるシステム停止は、病院の日常業務に多大な支障をきたします。電子カルテや医療機器、会計システム、輸血・投薬システムが機能しなくなることで、診療や手術が行えなくなり、救急搬送の受け入れや外来診療を制限せざるを得ない状況に追い込まれます。
新規患者の診療機会を失うだけでなく、医療機器や検査設備が操作できないことで診断や治療に必要な情報が確認できず、患者の健康や命に直接的な危険を及ぼします。また、患者の病歴や服薬歴が閲覧できなくなることで、適切な治療判断が難しくなる場合もあります。
信頼が低下する
ランサムウェア攻撃により患者の個人情報が漏洩すると、病院の信用が大きく損なわれます。また、漏洩した情報が他の犯罪に悪用されれば、病院が責任を問われるリスクも高まります。
たとえ身代金を支払った場合でも、個人情報がダークマーケットで取引される可能性があり、その結果として損害賠償問題や社会的信頼の喪失につながる恐れがあります。こうした状況が長期的に病院の評判にダメージを与え、患者数の減少を招く要因となります。
経済的損失を被る
ランサムウェア感染は、システム復旧や損害賠償など、さまざまな経済的損失を引き起こします。具体的には、インシデント調査費用、システム復旧費用、コールセンター設置費用などが発生します。
攻撃者から高額な身代金が要求されることもあり、支払うと病院の経営に重大な影響を与えます。しかし、身代金を支払ったとしても、データが確実に復元される保証はなく、元の状態に戻らない可能性があるため、注意が必要です。
病院におけるランサムウェア対策
ランサムウェアの脅威に対抗するため、病院では包括的なセキュリティ対策が求められます。以下では、実践的な対策を解説します。
VPN機器のセキュリティ強化
医療機関や病院では、VPNの脆弱性を狙ったサイバー攻撃が増加しており、VPN機器のセキュリティを強化することが重要です。
具体的には、認証方法やパスワードを見直し、強固な設定にすることが求められます。
セキュリティツールの導入とサイバー保険への加入
ランサムウェア感染を防ぐには、不正アクセスを迅速に検知・対策できるセキュリティツールの導入が有効です。
また、万が一の被害に備え、サイバー保険に加入することも推奨されます。サイバー保険は、第三者への損害賠償や復旧費用、対策費用を補償し、経済的な負担を軽減します。完全に事故を防ぐことは難しいものの、保険により損害を最小限に抑えることが可能です。
多要素認証とSSO(シングルサインオン)の導入
セキュリティを強化するため、多要素認証の導入も検討しましょう。IDやパスワードに加えて、生体認証やワンタイムパスワードを組み合わせて認証を行うため、強固なセキュリティを実現します。
また、SSO(シングルサインオン)を導入することで、1回の認証で複数のシステムを利用できる仕組みを整備できます。多要素認証とSSOを併用可能なサービスも多いため、セットでの導入を検討することをおすすめします。
攻撃されたときの対応の対策
サイバー攻撃を受けた場合に備え、「インシデント対応計画」を策定することが重要です。この計画には、内部・外部への連絡体制やデータ破損時のバックアップ、復旧手順を具体的に盛り込む必要があります。
また、データ復旧のテストや訓練を定期的に実施することで、対応能力を向上させましょう。
サプライチェーンリスクへの対策
医療機関のITシステムは、取引先やパートナー事業者とネットワークでつながっており、サプライチェーンリスクが存在します。このリスクを軽減するためには、関連事業者全体のセキュリティレベルを向上させる必要があります。
サプライチェーンを通じて間接的なサイバー攻撃が発生する可能性があるため、リスクを把握し、適切な対策を講じることが求められます。
病院でランサムウェアの被害に遭ったときの解決方法
病院がランサムウェア被害に遭った際の具体的な解決方法を解説します。
ケーブルなどを切断する
医療情報システムや機器に異常が発生した場合、ウイルス感染の兆候を確認することが第一歩です。感染が疑われる場合、感染端末を速やかにネットワークから切り離します。有線LANで接続している場合はケーブルを抜き、無線LANの場合はWi-Fi接続をオフにします。
また、医療システムやデータを外部ネットワークから隔離し、重要なシステムを別のネットワークで分離運用することで、感染リスクを低減します。
情報システム安全管理責任者へ報告する
ランサムウェア感染が発覚した場合、感染発生日や異常内容を医療情報システム安全管理責任者へ迅速に報告します。
参考:医療情報システム等の障害発生時の対応フローチャート|厚生労働省
参考:あなたの相談窓口ナビ(警察庁 )| 政府広報オンライン
マルウェア感染調査を実施する
感染の原因を把握するため、医療情報システム、リモートメンテナンス、LAN設備、電源系統などを詳細に調査します。この際、必要に応じてベンダやサービス提供事業者と連携して対応することが重要です。
さらに、マルウェアの機能や通信先を詳細に解析し、その特性を把握することで、再発防止策を講じる基礎を築くことができます。
復旧の基本方針を指示する
被害の状況を経営者に詳細に報告し、復旧に向けた基本方針を決定します。ランサムウェア発見日や診療への影響、攻撃手法や原因などを共有することで、適切な意思決定が可能になります。
また、厚生労働省や地方公共団体、個人情報保護委員会への報告も忘れてはなりません。バックアップを利用したシステムのリストアを実施し、事前に策定した復旧計画に基づいて復旧作業を進めます。
日本国内でランサムウェア攻撃された病院の事例
ランサムウェアによる攻撃は、国内の医療機関にも多大な影響を及ぼしています。ここでは、実際に被害を受けた国内の病院の事例を紹介します。
岡山県の病院
2024年5月19日、岡山県の医療センターと診療所の総合情報システムに障害が発生しました。翌20日には、システム内で脅迫メッセージと連絡先が確認され、ランサムウェア攻撃であることが判明しました。
6月11日には最大4万人分の患者情報が流出した可能性が報告され、警察が捜査を開始。病院はこの事態を重く受け止め、被害拡大防止に努めると発表しました。
参考:岡山県精神科医療センターからのメールの開封等について(第三報)
大阪府の病院
2022年10月、大阪府立の総合病院がランサムウェア攻撃を受けました。この攻撃により電子カルテやシステムが暗号化され、外来診療や検査が停止する事態に陥りました。
システムの復旧には約2か月を要し、その間、新規患者の受け入れが一時停止されるなど、大きな影響が生じました。
参考:調査報告書|地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会
徳島県の病院
2021年10月、徳島県の公立病院が「LockBit 2.0」というランサムウェアの攻撃を受けました。犯行声明が十数台のプリンタから印刷されるという事態が発生し、病院内の約8万5,000人分の電子カルテや院内LANが使用不能となりました。
復旧には約2か月を要し、総費用は約7,000万円に上ったと報告されています。
参考:コンピュータウイルス感染事案 有識者会議調査報告書|徳島県つるぎ町立半田病院
奈良県の病院
2018年10月、奈良県の私立病院がランサムウェア「GandCrab」による攻撃を受けました。この攻撃により電子カルテシステムが使用不能となり、病院は紙カルテ運用を余儀なくされました。
感染経路は不明とされていますが、復旧後も診療記録が暗号化された状態が続き、患者への説明や診療報酬請求の遅れなどの影響が出ました。
参考:令和元年度随時監査(ICT監査)結果報告書の提出について|宇陀市
厚生労働省の「医療情報システムのガイドライン」を参考に
厚生労働省の「医療情報システムのガイドライン」は、医療機関における情報管理の安全性を高めるための指針を示しています。この中で、セキュリティ責任者の配置やアクセス制御、IoT機器の管理、パソコンの持ち出し規程やBYODの禁止が推奨されています。また、サイバー攻撃への対応やバックアップの実施、利用終了情報の破棄を徹底することも重要とされています。
ランサムウェア攻撃が発生した場合は、身代金を支払わず、専門機関や警察に報告することが強調されています。
参考:医療情報システムの安全管理に関するガイドライン|厚生労働省
まとめ
ランサムウェアは、医療機関にとって重大な脅威であり、患者情報や診療業務に深刻な影響を及ぼします。感染を防ぐためには、VPN機器のセキュリティ強化や多要素認証の導入、バックアップの徹底など、基本的なセキュリティ対策が不可欠です。
特に、メールを介した攻撃が多発している中、医療機関にはメールセキュリティ対策が求められます。ランサムウェアをはじめとするサイバー攻撃から大切な情報を守るため、セキュリティの見直しを検討してください。
なお、メールセキュリティの強化をお考えなら、Cloud Mail SECURITYSUITEをご検討ください。「Microsoft 365」や「Google Workspace」を補完する日本企業向けのセキュリティ機能をオールインワンで提供します。必要な機能を低コストで導入でき、脅威防御や標的型攻撃対策を月額200円で利用可能です。ランサムウェア対策にぜひご活用ください。
