病院が受けたサイバー攻撃の経緯 ナースコールシステムを狙った手口と情報漏洩

病院が受けたサイバー攻撃の経緯 ナースコールシステムを狙った手口と情報漏洩 時事・ニュース
スポンサーリンク

2026年2月、日本医科大学武蔵小杉病院がランサムウェア攻撃を受け、患者約1万人分の個人情報が漏えいしたことを公表しました。攻撃者は1億ドル(約150億円)の身代金を要求しており、医療機関を狙った大規模サイバー攻撃として大きな波紋を広げています。

侵入経路は医療機器の保守用VPN装置とされており、電子カルテではなくナースコールシステムが感染源となった点も注目されています。本件は、医療DXが進む現代におけるセキュリティの構造的課題を浮き彫りにしました。

スポンサーリンク

日本医科大学武蔵小杉病院 発覚はナースコールの異常

事案が発生したのは2月9日午前1時50分頃です。病棟のナースコール端末が突然動作不良を起こしました。システムベンダーが調査したところ、ナースコール管理サーバー3台がランサムウェアに感染していることが判明しました。

病院は直ちに該当サーバーおよび関連ネットワークを遮断し、厚生労働省、文部科学省、警察へ報告しました。その後、専門家の支援を受けながらフォレンジック調査を実施しています。

調査の結果、サーバーから外部への不正通信の痕跡が確認され、データが外部へ持ち出された可能性が高いと判断されました。単なる暗号化被害ではなく、情報窃取を伴う攻撃であることが明らかになっています。

病院サイバー攻撃で漏えいした情報と被害

病院が公表した漏えい情報は以下の通りです。

  • 氏名
  • 性別
  • 住所
  • 電話番号
  • 生年月日
  • 患者ID

対象は約1万人分とされています。

一方で、診療録(電子カルテ)、クレジットカード情報、マイナンバー情報の流出は現時点で確認されていません。

しかし、攻撃者はダークウェブ上で「約13万1千件の情報を取得した」と主張し、一部サンプルデータを公開しています。病院発表との間に大きな差があるため、被害範囲の最終確定には時間を要する可能性があります。

150億円要求と二重脅迫型ランサムウェア

今回の攻撃は「ダブルエクストーション(二重脅迫)」型とみられています。

従来型ランサムウェアはデータを暗号化して業務停止を引き起こすものでしたが、近年はそれに加えてデータを事前に窃取し、公開をちらつかせて圧力をかける手法が主流になっています。

サーバー内には英語で1億ドルを要求するメッセージが残されていました。病院側は支払いに応じない方針を示し、神奈川県警に被害届を提出しています。

侵入経路は保守用VPN

今回の最大の論点は侵入経路です。

調査により、医療機器の遠隔保守に使用していたVPN装置から侵入されたことが確認されました。保守用VPNは外部ベンダーが機器のメンテナンスを行うために設置されるものです。

しかし、以下のような問題が指摘されています。

  • パスワード強度の不足
  • セキュリティパッチ未適用
  • 多要素認証(MFA)の未導入
  • 病院側の管理把握不足

医療機関ではベンダー任せになりやすく、機器のセキュリティ状態が「ブラックボックス化」する傾向があります。今回もその構造的弱点が突かれた形です。

なぜナースコールが標的になったのか

電子カルテではなくナースコールが感染源となった点も重要です。

近年のナースコールシステムはIoT化が進み、患者氏名や注意事項などを表示する機能を備えています。そのため、一定の個人情報がサーバー内に保存されています。

医療DXの進展により、院内ネットワークに接続される機器は増加しています。電子カルテだけを守れば安全という時代ではなく、すべての接続機器が攻撃対象になり得ます。

医療機関が狙われる理由

医療機関はランサムウェア攻撃の標的になりやすいとされています。その理由は次の通りです。

  • 24時間稼働で停止許容度が低い
  • 個人情報の価値が高い
  • IT人材が不足しがち
  • セキュリティ投資が後回しになりやすい

診療停止は患者の生命に直結するため、攻撃者は「支払いに応じやすい」と判断する傾向があります。

アサヒグループHDのサイバー攻撃

医療分野以外でも被害は広がっています。

アサヒグループホールディングスは2025年に受けたサイバー攻撃について、約11万5513件の個人情報流出を確認したと発表しました。流出情報には従業員や取引先の氏名、住所などが含まれていました。

医療機関と企業では業種は異なりますが、リモート接続環境の管理不備やベンダー依存体制といった共通課題が見られます。

医療DX時代に求められる対策

今回の事件が示す教訓は明確です。

  • 保守用VPNの厳格管理
  • 多要素認証の標準化
  • ゼロトラストアーキテクチャへの移行
  • 周辺機器を含めたネットワーク可視化
  • 定期的な脆弱性診断

サイバーセキュリティはIT部門だけの問題ではなく、経営課題として位置付ける必要があります。

まとめ

日本医科大学武蔵小杉病院のランサムウェア被害は、患者約1万人分の個人情報漏えいと150億円規模の身代金要求という重大な事案です。

診療は通常通り継続していますが、ダークウェブ上での情報公開リスクは続いています。

医療DXが進む中で、ネットワークに接続されるすべての機器が攻撃対象となります。今回の事件は、医療機関にとってセキュリティ対策の再構築が急務であることを強く示しています。

タイトルとURLをコピーしました