医療機関のサイバー攻撃とは？被害事例や対策について解説

一覧へ

病院や医療機関がサイバー攻撃で狙われやすい理由

サイバー攻撃者にとって価値の高い情報を保有している

病院や医療機関がサイバー攻撃の標的にされやすい大きな理由として挙げられるのが、悪意ある攻撃者にとって高い価値を持つ機密情報を保有していることです。たとえば、患者の健康保険証のデータや、過去の病歴・薬歴が記載された問診票データは極めて機密性の高い個人情報です。また、多くの病院・医療機関は、検査結果や治療内容、病気・怪我の経過などの医療情報を電子カルテで管理しています。患者がクレジットカードで支払いをした場合は、その決済情報も保管されます。このような情報は、病院・医療機関に対する脅迫や詐欺に悪用できることから、サイバー攻撃のターゲットにされやすいのです。患者の個人情報や医療情報の流出を防ぐため、病院・医療機関には、極めて堅牢なセキュリティ対策が求められます。

システムに構造的な脆弱性がある

病院や医療機関がサイバー攻撃の標的になりやすい要因の一つとして、システムの構造的な脆弱性が挙げられます。一般的に、病院・医療機関のシステムは医療機器メーカーや医薬品のサプライヤーなど、複数の外部業者のシステムと連携していますが、このようなネットワークを介した外部との連携によってセキュリティリスクが高まっているのが現状です。仮に、病院・医療機関が強固なセキュリティ対策を講じていても、連携している外部業者のシステムに脆弱性があると、その弱点を突かれ、ネットワークを通して病院・医療機関のシステムに侵入されるおそれがあります。連携している外部業者がサイバー攻撃を受けた場合、その影響が病院・医療機関に及ぶリスクは否定できません。

セキュリティ対策に十分な予算・人材を投資できていない

病院や医療機関がサイバー攻撃を受けやすい理由としてよく言われるのが、セキュリティ対策に十分な予算・人材を投資できていないことです。多くの病院・医療機関は、限られたリソースを診療や患者サービスに優先的に配分しています。そのため、セキュリティに関する専門性を持った人材の確保・育成や、セキュリティ対策の改善・強化が後回しにされがちです。さらに、レガシーシステムと呼ばれる古いシステムに依存している病院・医療機関も少なくありません。このようなシステムは最新のセキュリティ対策に対応できていないことが多く、脆弱性が放置されるリスクがあります。こうした弱点を狙ったサイバー攻撃を受けやすくなっているのが、多くの病院・医療機関の現状です。

一覧へ

サイバー攻撃の主な手口

サイバー攻撃の手口として、パソコンの乗っ取り被害やマルウェア(コンピュータウィルス)への感染被害がサイバー攻撃の手口として多く見られます。

サプライチェーン攻撃

サプライチェーンとは「供給連鎖」を指し、原料調達に始まり、製造、在庫管理、物流、販売などを通じて、消費者の手元に届くまでの一連の流れを指します。

その過程で多くの企業が関わりますが、その連鎖という構造を悪用するのをサプライチェーン攻撃といいます。

サプライチェーン攻撃の特徴は、初めから最終的な攻撃目標であるセキュリティレベルが堅牢な企業を狙うのではありません。まずはセキュリティレベルが低い取引先や子会社を狙って攻撃を仕掛け、普段の業務のやり取りを介して最終的な攻撃目標の企業にマルウェア(コンピュータウィルス)などを仕込みます。そのため、マルウェア等の感染に気付きにくい点があります。

標準型攻撃メール

まず標的型攻撃メールの標的型とは、その名の通り対象が予め定まっていることを指します。

そして攻撃メールとは、悪意のあるメールを送り付けることでサイバー攻撃を仕掛けることを指します。

つまり標的型攻撃メールとは、特定の対象にファイルや外部へのウェブサイトのリンクをメールに添付し、ファイルをクリックさせたりリンク先に誘導させたりすることでマルウェア(コンピュータウィルス)等に感染させたり、情報を盗み出すサイバー攻撃のことを指します。

対象が特定されていることで、あたかも実在するような人物や団体からのメールだと認識してしまいやすい点が厄介です。

ランサムウェア攻撃

ランサムウェア攻撃のランサムウェアとは、身代金を意味する「ランサム」と「ソフトウェア」を組み合わせた造語です。パソコンに保存されていたファイルを暗号化し、ファイルを元に戻すことと引き換えに身代金を要求するマルウェア(コンピュータウィルス)のことを指します。

仮に身代金を払ったとしてもファイルが元に戻る保証はなく、さらに被害が拡大し金銭的な被害だけでなく、個人情報や機密情報の流出などに繋がる恐れもあります。

一覧へ

サイバー攻撃を受けた際に発生する被害の例

サイバー攻撃によるID、パスワード、患者の個人情報、個人の医療情報、機密情報の流出やシステム障害による治療の妨害、システム復旧を条件とした身代金の要求が被害の例として多く見られます。

個人情報の流出

2021年7月、岡山県岡山市の岡山大学病院において、岡山大学病院の医師が個人で使用していたクラウドサービス用ID及びパスワードをフィッシング詐欺(偽の電子メールによって、偽のホームページへ誘導し情報を盗み出す詐欺)により搾取される被害が発生しました。当該IDやパスワードで紐づけられた、個人のクラウド上の保存データ等にアクセスできなくなったのです。

当該クラウドサーバには、治療経過を確認する資料として収集された延べ269人の個人情報を含む患者情報を記したファイルが保存されており、攻撃者によって閲覧可能な状態となっていました。

システムダウンによる治療の中断や遅延

2020年9月、ドイツでランサムウェア攻撃(身代金要求型のコンピュータウィルス)を受けたデュッセルドルフ病院で患者の受け入れができなくなりました。ランサムウェア攻撃により院内30台のサーバーのデータが暗号化され、その中の1台に脅迫状があり、犯人グループからランサムウェア解除コードと引き換えに多額のビットコインによる身代金の要求がありました。
デュッセルドルフ警察は犯人との連絡を試み、大学ではなく病院が被害を受け患者が危険な状態にあることを伝えると、犯人はこれに応じて脅迫を撤回し、暗号解除のデジタルキーを提供した後、行方をくらましたとのことです。

しかし女性患者はシステムダウンでデュッセルドルフ大学病院で救命処置を受けることができず、30㎞離れた病院に転送されましたが、残念ながら救命処置が間に合わず女性患者は死亡してしまいました。
この事件はサイバー攻撃による、世界初の死亡事件といわれています。

金銭的損失

2022年10月、大阪府大阪市の大阪急性期・総合医療センターで、身代金要求型ウィルスとみられるサプライチェーン攻撃を受け、システム障害で診療を長期間停止しました。
原因として、電子カルテを含む基幹システムが同じパスワードで接続可能だったことが、障害につながりました。
診療停止や復旧などに伴う被害額は、10億円以上とみられています。
報告書によると、サプライチェーン攻撃により外部の給食業者のVPN(仮想私設網)から侵入し、業者側のサーバーと常時接続されていたセンター側の給食管理用サーバーに入り込んだようです。
このサーバーと電子カルテなどを運用する基幹システムのサーバーのパスワードが同じだったため、ウイルスに感染しシステム障害が発生しました。

電子カルテへのアクセス障害

2022年6月、徳島県鳴門市の医療法人久仁会 鳴門山上病院でランサムウェア(身代金要求型のコンピュータウィルス)によるサイバー攻撃を受け、電子カルテへのアクセスに障害が発生しました。
このサイバー攻撃は「Lockbit 2.0」というランサムウェアで、感染するとデータが暗号化され、拡張子と呼ばれるdocxやjpgのようなファイル名の後につくものを「Lockbit」に変更するというものでした。
このランサムウェアによる入院中の患者の診療やケアには問題がありませんでしたが、受付業務や処方に問題が発生しました。

一覧へ

医療機関のサイバー攻撃の被害事例

日本の医療機関で発生したサイバー攻撃の被害事例を5つご紹介します。

大学病院のマルウェア感染

金沢大学付属病院にて、部門別のシステムを経由して他部門の医療機器にマルウェア感染が広がった事例です。
マルウェア感染後、電子カルテのレスポンスの遅さ、動作の不安定状態などが発生し、診療業務に影響が起こりました。
ウイルスチェックでは約1,000件の不正プログラムが検出された機器もありました。
ウイルス感染したUSBメモリを使用したことで、コンピュータがウイルス感染したことが後に原因と判明したケースです。

私立病院へのランサムウェア攻撃

奈良県宇陀市立病院がランサムウェア攻撃を受け、電子カルテシステムが使用不可になった事例です。
病院では一時的にサーバを停止し、紙カルテでの対応を行いました。
ランサムウェア攻撃を受けた原因は、職員が私物のパソコンをネットワーク機器に接続したことです。
院内ルールでは私物のデバイスは接続しないことが決められていましたが、遵守しなかったことで発生した事例です。

医療センター情報流出事例

多摩北部医療センターのコンピュータが不正アクセスされ、職員端末内にある情報流出が起こったと推定される事例です。
情報流出が起こったと考えられるメールアドレスに連絡を行ったのち、東京都保険医療公社が発表を行いました。
不正アクセスにより流出したと推定されるのは、該当する職員端末内のメールボックスの内容に限定されています。
原因は職員宛てに送信されたメールに、マルウェアの入ったファイルが添付されていたことです。

大学病院の撮影機器不具合

福島県立医科大学付属病院にて、ウイルス感染が原因とみられる検査機器の不具合が報告された事例です。
検査途中のCTの管理端末の再起動、画像読み取りの装置が自動で再起動される状態となり、患者様は別室にある機器にて再検査を行うことになりました。
報告によると、病院の医療情報システムは外部のインターネットに接続されていないことから、私的な端末を経由して感染した可能性が高いとしています。
また、同院では過去にもコンピュータウイルス感染によると見られる再検査が発生していました。
しかし院内の情報共有が行われず、ウイルス感染について報告が行われなかったことも事態を重くした原因とされました。

脆弱性によるサーバーダウン

徳島県つるぎ町立半田病院で、VPNの脆弱性をついた院内ネットワークへの不正アクセスが起こりました。
院内ネットワークがランサムウェアに感染し、電子カルテシステムが大きな影響を受けた事例です。
具体的にはバックアップサーバーや医事サーバーなどがダウンし、通常の診療が困難となっていることが確認されました。
システムが完全復旧するまでに数カ月を要しました。

一覧へ

医療機関が行うべきサイバー攻撃の予防方法

医療機関が行うべきサイバー攻撃の予防方法についてご紹介します。

VPN機器のセキュリティを高めておく

VPNとは、インターネット上に仮想のプライベートネットワークを構築し、地理的に離れた複数拠点を安全に接続する技術です。近年のセキュリティ対策に不可欠な技術ですが、VPN経由でウイルスに感染した端末が病院・医療機関のネットワークに接続されると、ネットワーク全体にマルウェアが拡散するなど、深刻な被害を招くおそれがあります。そのため、病院・医療機関におけるサイバー攻撃対策では、VPN機器のセキュリティ強化が一つのポイントになります。具体的には、定期的なVPN機器のソフトウェアアップデート、定期的なパスワード変更、多要素認証の導入といった対策が重要です。

多要素認証を導入する

病院・医療機関のシステムでは、個人情報や医療情報など機密性の高いデータを扱うため、単一の認証方法では不十分です。病院・医療機関のセキュリティ対策において、多要素認証の導入は極めて重要なポイントだと言えるでしょう。多要素認証とは、システムにログインする際に複数の要素を組み合わせて個人を認証する方法です。「パスワード + SMSで送られるワンタイムパスワード」「指紋認証や顔認証などの生体認証 + パスワード」「ICカード + パスワード」など、異なる認証要素を組み合わせることで、セキュリティの向上を図ることができます。

攻撃を直ちに検出するツールを導入する

病院・医療機関におけるセキュリティ対策では、サイバー攻撃を未然に防ぐのはもちろん、サイバー攻撃を受けた際に迅速に検知し、適切な対処ができるツールを導入することも重要です。具体的には、以下のようなツールの導入が効果的です。

• 侵入検知システム（IDS）：ネットワーク内のトラフィックを監視し、不審な通信や攻撃の兆候を検知してアラートを発する。
• 侵入防止システム（IPS）：不正アクセスや攻撃の兆候を検知した際に、自動的にトラフィックを遮断する。
• ネットワーク検知＆対応（NDR）：ネットワークトラフィックを常時監視・分析し、既知および未知の脅威、異常な挙動を検知する。

技術的な対策を行う

医療機関で使用するパソコンやタブレット、ネットワーク機器などにもOSやソフトウェアがインストールされています。
使用する機器のバージョンが古ければ、脆弱性を狙った攻撃にさらされやすくなります。
常に最新のバージョンへアップデートするとともに、セキュリティソフトの導入、ファイアウォールの最適化を進めましょう。
また、不正アクセスやマルウェア感染によりデータ消去や改ざんを受けた時に備え、バックアップデータの保管も大切です。
担当者以外がバックアップデータに触れられないよう、暗号化やパスワード設定で外部との接触を絶つことが対策になります。

従業員教育の徹底

技術的対策以外に、従業員に対して電子カルテシステム、院内ネットワーク機器の使用ルールの教育も必要です。
例えば職員が使用していない時はログアウトする、パスワードは定期的に変更する、私物のUSBやパソコンを院内機器に接続しないなどです。
過去に発生した医療機関のサイバー攻撃には、従業員がルールを遵守していれば防止できた事例も多数あります。
職員への教育とウイルス感染のリスクがあるものを持ち込まないことが、医療機関を保護するために重要な対策です。
またメール添付ファイルの取扱い、個人情報の扱いなども職員に徹底させることが予防策になります。

インシデント発生時の対応フローをあらかじめ決めておく

定期的なログチェックや監視システムの構築により、不審な状況の発生を検知する体制を維持します。
異常を検知した場合、インシデント担当部署へ迅速に情報共有する仕組みの構築も必要です。

インシデントが確認されたら、内外関係者へ情報を共有し、事前に設定した優先順位を踏まえながら二次被害を抑えつつ、システム停止やネットワーク遮断など必要な手続きを行います。

インシデント発生原因や被害規模の把握、対策の立案などインシデントの分析を行い、セキュリティ対策を行います。

システムを復旧させ、正常に稼働しているか確認を行います。
その確認後、内外関係者へ連絡を行うと共に、必要に応じて情報を一般公開します。

損害に備えた保険の加入

サイバー攻撃が発生した後のことも考慮し、損害に備えた保険に加入しておくことも大切です。
サイバー攻撃を受けないことが一番ですが、避けられない攻撃や従業員のわずかな気の緩みから被害を受ける可能性もゼロではありません。
サイバー攻撃を受けると、ネットワーク機器やサーバーの復旧だけでも莫大な費用が発生します。
加えて個人情報が流出すれば、損害賠償請求される可能性もあります。
そうした事態まで想定し、被害を最小限に抑えるための保険加入も検討しましょう。

一覧へ

医療機関がサイバー攻撃を受けた際の対処法

医療機関がサイバー攻撃を受けた(疑いを含む)場合、厚生労働省へ連絡を行います。
また、患者の個人情報を含む医療情報など個人データの漏洩(もしくは漏洩の恐れ)が発生した場合、個人情報保護委員会への報告が必要となります。

一覧へ

セキュリティ対策のことならパナソニックEWネットワークス

医療機関の電子カルテシステムは、患者様の診療のために24時間365日安定した稼働が求められます。
常時稼働している院内ネットワークは、サイバー攻撃へのセキュリティ対策にも十分な配慮が必要です。
パナソニックEWネットワークスは、電子カルテシステム導入に伴うインフラ整備、高速大容量の無線LANシステム、ファイアウォールの最適化まで幅広く対応いたします。
弊社のソリューションは大学病院や医療法人、個人のクリニックでも導入されており、低コストで安全な運用を実現しています。
ニーズに合わせて適したソリューションを提案し、運用・保守のサポートも可能です。
サイバー攻撃への備えを万全にするなら、パナソニックEWネットワークスにお問い合わせください。

一覧へ

サイバー攻撃は発生する前提で予防策を行う

医療機関はサイバー攻撃の標的になりやすく、被害を受ければ人命に関わる危険もあります。
被害の拡大を防止するには、サイバー攻撃を受けることを前提として、未然に防ぐためのセキュリティ対策を進めましょう。
技術的対策だけでなく、従業員への教育、物理的対策、専門家による監視などできる対策を積極的に行うことが大切です。
事前に対策を行っておくことでサイバー攻撃の防止策になるだけでなく、発生後の早期復旧につなげられます。
自院に最適なセキュリティ対策をお探しなら、医療機関のセキュリティ対策実績も豊富なパナソニックEWネットワークスにご相談ください。