医療機関を標的としたサイバー攻撃が急増している2025年。私がフォレンジック調査で関わった案件でも、病院やクリニックへの攻撃は特に深刻な被害をもたらすケースが目立っています。
今回は、2025年に実際に発生した医療機関への主要なサイバー攻撃事例を分析し、現役CSIRTメンバーとして、個人や中小企業でも実践できる効果的なセキュリティ対策をご紹介します。
2025年医療機関サイバー攻撃の深刻な現状
医療機関は、患者の生命に関わるシステムと大量の個人情報を扱う一方で、レガシー機器や複雑な委託体制により、攻撃者にとって格好のターゲットとなっています。2025年は特に以下の3つの攻撃パターンが顕著でした:
- 二重脅迫型ランサムウェア攻撃
- 不正アクセスによる大規模情報漏洩
- 内部要因によるインシデント
主要なサイバー攻撃事例の詳細分析
宇都宮セントラルクリニック:Qilinランサムウェア攻撃
2025年2月に発生した最も深刻な事例です。医療法人DIC 宇都宮セントラルクリニックがQilin(キリン)グループによるランサムウェア攻撃を受け、最大約30万人分の個人情報が漏洩した可能性が報告されました。
この攻撃の特徴は:
- 2月10日の院内システム障害から攻撃が発覚
- データ暗号化と情報窃取の二重脅迫
- 攻撃グループがダークウェブで不正アクセスを主張
- 診療・健診業務に長期間の制限
フォレンジック調査の経験から言えば、このような大規模な被害は初期侵入から横展開まで、攻撃者が周到に準備していることを示しています。
英国NHS:医療サービス連鎖攻撃の教訓
2024年6月に発生したQilin関与とされる英国NHS攻撃では、Synnovis社の病理診断サービスが標的となり、複数の病院グループに連鎖的な影響が発生しました。
この攻撃により:
- 血液検査・輸血処理が困難に
- O型血液の全国的不足
- 検査結果遅延により患者1名が死亡
医療機関への攻撃は、単なる情報漏洩にとどまらず、患者の生命に直接関わる深刻な問題であることを改めて示しています。
公立病院への不正アクセス
地方自治体の公立病院で、患者情報約5,000件の漏洩可能性が公表されました。侵入起点は明示されていませんが、メール・VPN・公開Webの脆弱化や多要素認証の不徹底が疑われます。
攻撃者の典型的な手法:
- 認証情報の奪取
- PSTファイルやファイルサーバへの横展開
- 名簿系データの窃取
内部要因によるインシデント
都立病院委託先での個人情報不正利用
医事委託先のアルバイト職員が、患者の携帯電話番号を私的に利用し、第三者と共有していた事案が発覚しました。委託先管理の課題を浮き彫りにした事例です。
可搬媒体の紛失事例
USBメモリやSDカードの紛失により、1,400名以上の個人情報が流出した可能性が生じました。暗号化や持ち出しルールの重要性を示しています。
医療機関サイバー攻撃の3つの特徴
フォレンジック調査で見えてきた医療機関攻撃の特徴:
1. 横展開の速さ
侵入後はActive Directoryやファイルサーバ、PACS(医療画像管理システム)、バックアップまで一気に到達されます。医療システムの分離度が試される局面です。
2. 委託・再委託のガバナンス低下
受付・医事・清掃・IT保守など多層委託のどこかが攻撃の起点になります。人的不正は技術制御だけでは防げません。
3. 医療サービスへの直接影響
検査・輸血・手術スケジュールへの打撃は患者安全に直結し、最悪の場合、生命に関わる事態となります。
効果的なセキュリティ対策の実装
認証強化の即時施策
すべての職員と委託先アカウントに多要素認証(MFA)を必須化することが最優先です。特に医療機関では、パスキー方式の採用を推奨します。
個人・中小企業での実装ポイント:
- Microsoft 365やGoogle Workspaceの管理コンソールでMFAを強制有効化
- VPNアクセスには地理的制限とデバイス認証を併用
- 非常勤職員や委託先のアカウント定期棚卸し
この対策だけでも、不正アクセスによる被害の8割以上を防ぐことができます。当社でフォレンジック調査したケースでも、MFAが有効だった企業では被害が最小限に抑えられていました。
エンドポイント保護の強化
アンチウイルスソフト
の導入は必須ですが、医療機関では特に以下の点に注意が必要です:
- EDR(Endpoint Detection and Response)の全端末展開
- ブロックモードでのリアルタイム保護
- ドメインコントローラの特別保護設定
医療機器への影響を考慮し、段階的な導入計画を立てることが重要です。
ネットワーク分離の実装
電子カルテ(EHR)とPACS・検査系・事務系システムのネットワーク分離は、横展開を阻止する最も効果的な対策です。
中小医療機関での実装方法:
- VLAN分割による論理的分離
- ファイアウォールでの通信制御
- ベンダリモートアクセスの跳び箱方式
VPNセキュリティの強化
医療機関でのリモートアクセスには、VPN
の活用が効果的です。特に:
- ゼロトラストアーキテクチャの採用
- アクセス時間の制限
- 接続ログの自動記録
バックアップ戦略の見直し
3-2-1ルール(3つのコピー、2つの異なるメディア、1つのオフサイト保管)に加え、オフライン保管を徹底します。年2回の実地リストア演習も必須です。
Webサイトの脆弱性対策
医療機関のWebサイトは患者情報の入り口となりがちです。Webサイト脆弱性診断サービス
を定期的に実施し、SQLインジェクションやクロスサイトスクリプティングなどの脆弱性を早期発見することが重要です。
可搬媒体の管理強化
USBメモリやSDカードは原則使用禁止とし、例外的な利用には:
- 申請・承認プロセス
- 自動暗号化機能付きメディアの使用
- 紛失時の遠隔消去機能
- 利用台帳での管理
委託先管理とガバナンス強化
医療機関では委託・再委託が複雑に絡み合うため、以下の対策が必要です:
契約面での対策
- セキュリティ教育の実施義務化
- ログ監査の定期実施
- インシデント即時通報義務
- 違反時の損害賠償条項
技術面での対策
- DLP(Data Loss Prevention)システムの導入
- MDM(Mobile Device Management)での業務外アプリ制限
- メール・チャットの監視強化
まとめ:医療機関のサイバーセキュリティは待ったなし
2025年の医療機関サイバー攻撃事例から見えてきたのは、技術的対策だけでなく、人的要因や委託先管理を含む包括的なアプローチの必要性です。
特に重要なのは:
- 多要素認証の全面展開
- エンドポイント保護の強化
- ネットワーク分離の実装
- 委託先ガバナンスの徹底
- 継続的な脆弱性管理
医療機関への攻撃は患者の生命に直結する問題であり、「うちは大丈夫」という楽観的な考えは禁物です。今回紹介した対策を段階的に実装し、患者情報の保護と医療サービスの継続性を両立させることが急務です。
サイバーセキュリティ投資は「コスト」ではなく「患者安全のための必要投資」として位置づけ、経営層も含めた全社的な取り組みとして推進していただければと思います。
