大阪の病院がランサムウェアで10億円被害！実例から学ぶ中小企業のサイバー攻撃対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

10億円規模の被害を出した大阪急性期・総合医療センターの事例

2022年10月、大阪急性期・総合医療センターがランサムウェア攻撃を受け、電子カルテシステムに深刻な障害が発生しました。この攻撃により、病院は患者の受け入れを制限し、完全復旧までに2か月以上を要する事態となりました。

最終的に、ウイルスの侵入経路となった給食事業者やシステム開発業者など複数の民間事業者が、計10億円の解決金を支払うことで和解が成立。しかし、この事件は現代のサイバー攻撃がいかに深刻な被害をもたらすかを如実に示しています。

実際の被害規模

新規入院患者数：前年同月比33%に激減
初診患者数：前年同月比18%に激減
逸失利益：十数億円規模
調査・復旧費用：数億円
システム完全復旧期間：2か月以上

フォレンジック調査で判明した攻撃の全貌

私がこれまで担当してきた企業のインシデント対応でも、今回のケースと似たような攻撃パターンを多く見てきました。専門家による調査委員会の報告書によると、攻撃は以下のような経路で進行しました。

攻撃の侵入経路と拡大プロセス

初期侵入：給食事業者のシステムからウイルスが侵入
横展開：ネットワーク内を移動し、電子カルテシステムに到達
被害拡大：電子カルテサーバーにウイルス対策ソフトが設定されていなかったため、被害が拡大
暗号化実行：ランサムウェアがデータを暗号化し、身代金を要求

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

なぜ「給食事業者」から攻撃が始まったのか

一見すると、給食事業者と電子カルテシステムは無関係に思えます。しかし、現代の医療機関では様々な外部業者とシステムを連携させているのが実情です。

サプライチェーン攻撃の典型例

これは「サプライチェーン攻撃」と呼ばれる手法で、攻撃者は以下の理由から、まず外部業者を標的にします：

外部業者のセキュリティが本体より甘い場合が多い
信頼関係を悪用してネットワークに侵入できる
複数の組織に同時に攻撃を仕掛けることが可能

実際に私が調査した中小企業の事例でも、清掃業者のパソコンから侵入され、本社の基幹システムが暗号化されたケースがありました。攻撃者は常に「最も弱いリンク」を狙ってくるのです。

中小企業が今すぐ実践すべき対策

1. 多層防御の構築

今回の事例で最も問題だったのは、電子カルテサーバーにアンチウイルスソフトが設定されていなかったことです。「サーバーだから大丈夫」という考えは危険です。

現役CSIRTとして断言しますが、アンチウイルスソフトは全てのデバイスに必須です。特に以下の点に注意してください：

エンドポイント（PC、サーバー）全てに導入
リアルタイム保護の有効化
定期的な定義ファイル更新
ランサムウェア専用の検知機能を持つ製品の選択

2. ネットワークセグメンテーション

給食事業者から電子カルテシステムまで攻撃が広がったのは、ネットワークが適切に分離されていなかったためです。重要なシステムは必ず別セグメントに配置し、アクセス制御を徹底しましょう。

3. 外部アクセスの見直し

外部業者からの接続にはVPN を活用し、アクセスログの監視を強化してください。VPN により暗号化された通信を確立し、不正アクセスのリスクを大幅に軽減できます。

被害を最小化するための事前準備

インシデント対応計画の策定

攻撃を完全に防ぐことは困難です。重要なのは、被害を最小化し、迅速に復旧することです。

データの定期バックアップ（オフライン保管も含む）
システム復旧手順の文書化
関係者への連絡体制の整備
法執行機関との連携準備

定期的な脆弱性診断

今回の事例のように、内部セキュリティが脆弱だと被害が拡大します。Webサイト脆弱性診断サービスを定期的に実施し、システムの弱点を事前に把握・修正することが重要です。

実際のランサムウェア攻撃パターンと対策

フォレンジック調査を行う中で、私は数多くのランサムウェア攻撃を分析してきました。攻撃者の手法は年々巧妙化していますが、基本的なパターンは以下の通りです。

典型的な攻撃フロー

初期侵入：フィッシングメール、脆弱性攻撃、認証情報の窃取
権限昇格：管理者権限の取得
横移動：ネットワーク内の他システムへの拡散
データ収集：機密情報の窃取
バックアップ削除：復旧を困難にする
暗号化実行：データの暗号化と身代金要求

中小企業でよく見る脆弱性

古いOSやソフトウェアの使用継続
デフォルトパスワードの使い回し
不要なネットワークサービスの稼働
従業員のセキュリティ意識不足
バックアップの不備

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

経営層が知っておくべき損害の実態

今回の大阪急性期・総合医療センターの事例は氷山の一角です。実際のランサムウェア被害は以下のような多層構造になっています。

直接損害

システム復旧費用：数百万円〜数億円
調査費用：数十万円〜数千万円
データ復旧費用：数十万円〜数千万円
法的対応費用：数十万円〜数百万円

間接損害

営業停止による逸失利益
顧客信頼失墜による売上減少
株価下落（上場企業の場合）
人材流出リスク
競合他社への顧客流出

まとめ：予防投資の重要性

大阪急性期・総合医療センターの事例は、サイバーセキュリティ対策の不備が如何に深刻な結果を招くかを示しています。10億円の解決金、十数億円の逸失利益、2か月以上のシステム停止—これらの損害を考えれば、事前のセキュリティ投資がいかに重要かがお分かりいただけるでしょう。

特に中小企業においては、一度の攻撃で事業継続が困難になるケースも少なくありません。アンチウイルスソフト、VPN 、Webサイト脆弱性診断サービスへの投資は、単なるコストではなく、事業を守る重要な保険なのです。

攻撃者は常に新しい手法を開発し、あなたの大切な事業を狙っています。今日から始められる対策を一つずつ実行し、強固なセキュリティ体制を構築していきましょう。