和歌山の紀和病院で発生したサポート詐欺事件の全容
2025年10月27日、和歌山県橋本市の紀和病院で深刻なセキュリティインシデントが発生しました。非常勤医師の自宅パソコンがサポート詐欺の標的となり、患者数千件分の個人情報が危険にさらされた事件です。
事件の経緯はこうでした:
- 8月29日:医師がウェブ閲覧中に偽の警告画面が表示
- 医師が画面の電話番号に連絡
- 「サポート担当者」を装った攻撃者が遠隔操作を指示
- 医師が指示に従い、端末の遠隔操作を許可
- 攻撃者が一時的にパソコンを制御下に置く
幸い、専門業者による調査の結果、患者情報の外部流出は確認されませんでした。しかし、この事件は医療機関のセキュリティ対策に重要な課題を投げかけています。
なぜ医療機関がサイバー攻撃の標的になるのか
現役フォレンジックアナリストとして多くのインシデントを分析してきましたが、医療機関は特にサイバー攻撃者にとって「美味しい標的」なのです。
医療情報の高い価値
医療記録は闇市場で高額取引される貴重な情報です:
- 氏名、生年月日、住所などの基本情報
- 病歴、処方薬情報
- 保険証番号
- 家族構成
これらの情報は身元詐称や保険詐欺に悪用され、一般的な個人情報の10倍以上の価格で売買されることもあります。
脆弱なセキュリティ体制
多くの医療機関では以下の問題が見られます:
- 予算不足によるセキュリティ投資の遅れ
- 医療従事者のITリテラシー不足
- レガシーシステムの運用継続
- 個人端末の業務利用(シャドーIT)
サポート詐欺の巧妙な手口を解析
今回の事件で使われた手法は典型的なサポート詐欺のパターンです。私が過去に調査した類似事例も含めて、その手口を詳しく解説します。
ステップ1:偽警告画面の表示
攻撃者は感染したウェブサイトや悪意のある広告を通じて、「コンピューターがウイルスに感染しています」といった偽の警告を表示します。この画面は非常にリアルで、正規のセキュリティソフトの警告と見分けがつかないレベルです。
ステップ2:電話誘導
偽警告には「今すぐこの番号に電話してください」といった文言と共に電話番号が表示されます。焦った被害者が電話をかけると、流暢な日本語を話す「サポート担当者」が対応します。
ステップ3:遠隔操作ツールのインストール
攻撃者は「問題を解決するため」と称して、TeamViewerやAnyDeskなどの遠隔操作ツールのインストールを指示します。これらは本来正規のソフトですが、悪用されることで攻撃者がパソコンを完全に制御できるようになります。
実際の被害事例
私が調査した別の事例では:
- クリニックの事務員が同様の手口で騙され、患者2,000名の情報が流出
- 歯科医院で会計ソフトのデータが暗号化され、身代金を要求される
- 薬局でレセプトデータが盗まれ、保険詐欺に悪用される
これらの事例では、初期対応の遅れが被害を拡大させる結果となりました。
個人端末利用(シャドーIT)の深刻なリスク
今回の事件で最も問題視すべきは、非常勤医師が自宅のパソコンに患者情報を保存していたことです。このような「シャドーIT」は医療機関に致命的なリスクをもたらします。
管理体制の欠如
個人端末では以下の基本的なセキュリティ対策が困難です:
- 暗号化の強制
- マルウェア対策ソフトの統一管理
- 操作ログの取得
- リモートワイプ機能
実際のフォレンジック調査での発見
私が担当したある中小病院の事例では:
- 医師の私用ノートPCから3万人分の患者データが発見
- 暗号化されておらず、パスワードも設定なし
- アンチウイルスソフト
すらインストールされていない状態 - 過去2年間のアクセスログが一切残っていない
すらインストールされていない状態このような状況では、万が一の情報流出時に被害範囲の特定すら困難になります。
医療機関が今すぐ実施すべきセキュリティ対策
1. 個人端末の利用禁止と管理体制構築
- 患者情報の個人端末保存を原則禁止
- やむを得ない場合は事前承認制
- 強制暗号化とリモートワイプ機能の導入
- 定期的な端末棚卸しの実施
2. VDI(仮想デスクトップ)の導入検討
端末にデータを残さない仕組みとして、VDIや仮想アプリ配信の導入が効果的です。これにより:
- データは全てサーバー上で管理
- 端末紛失時のリスク最小化
- アクセス制御の一元管理
3. 職員教育の徹底
サポート詐欺対策として以下のルールを徹底:
- 警告画面の電話番号には絶対に連絡しない
- 遠隔操作の依頼は一律拒否
- 不審な画面が表示されたら即座にIT部門に連絡
- 定期的なフィッシング訓練の実施
4. 技術的対策の多層化
- アンチウイルスソフト
の統一管理と最新化
- URLフィルタリングによる悪意のあるサイトブロック
- EDR(Endpoint Detection and Response)の導入
- 特権アカウントの管理強化
5. リモートアクセス環境の安全化
在宅勤務や外部アクセスが必要な場合:
- VPN
による通信の暗号化
- 多要素認証の必須化
- アクセス時間の制限
- ログ取得と監視の強化
による通信の暗号化インシデント発生時の適切な対応手順
万が一サポート詐欺の被害に遭ってしまった場合の対応手順をCSIRTの視点から解説します。
即座に実施すべき対応
- 端末の即座の切断:ネットワークから物理的に切断
- 被害状況の初期確認:アクセスされた可能性のあるデータの特定
- 関係者への報告:管理者、法務部門への即時報告
- 証拠保全:端末の電源を落とさず、専門業者に調査依頼
専門業者による詳細調査
フォレンジック調査では以下の点を重点的に分析:
- 攻撃者のアクセス経路と時系列
- 閲覧・コピーされたファイルの特定
- 外部への通信履歴
- マルウェア感染の有無
被害の最小化策
- 影響を受けた患者への個別通知
- システムパスワードの全面変更
- 監視体制の強化
- 再発防止策の策定と実施
予算に限りがある医療機関での現実的対策
大規模な投資が困難な中小医療機関でも実施できる効果的な対策を提案します。
コストパフォーマンスの高い対策
- アンチウイルスソフト
の導入:月額数百円から利用可能
- クラウドストレージの活用:個人端末へのデータ保存を回避
- 定期的なバックアップ:ランサムウェア対策として有効
- 職員教育プログラム:外部講師による定期研修
段階的導入プラン
- 第1段階:基本的なセキュリティソフトと教育
- 第2段階:VPN
とクラウド化
- 第3段階:EDRと高度な監視システム
法的責任と損害賠償リスクへの備え
医療機関での個人情報漏えいは重大な法的リスクを伴います。
想定される法的責任
- 個人情報保護法違反による行政処分
- 患者からの損害賠償請求
- 医師法に基づく行政処分
- 社会的信用失墜による経営への影響
実際の損害賠償事例
私が関わった事例では:
- 患者1人あたり1万円〜10万円の慰謝料
- フォレンジック調査費用:100万円〜500万円
- システム復旧費用:50万円〜300万円
- 風評被害による患者減少:年間数千万円の影響
Webサイトのセキュリティ強化も重要
医療機関の多くが運営するホームページも攻撃対象となります。Webサイト脆弱性診断サービス
により定期的な脆弱性チェックを実施し、患者や地域からの信頼を守ることが重要です。
Webサイト経由の攻撃パターン
- 予約システムへの不正アクセス
- 患者ポータルサイトからの情報窃取
- ホームページ改ざんによる信用失墜
- マルウェア配布サイトへの誘導
まとめ:医療機関のセキュリティは患者の信頼そのもの
今回の紀和病院の事例は、医療機関におけるセキュリティ対策の重要性を改めて浮き彫りにしました。患者の大切な個人情報を預かる医療機関として、以下の点を肝に銘じる必要があります:
- 個人端末での患者情報管理は原則禁止
- 職員教育によるヒューマンエラーの防止
- 技術的対策の多層化
- インシデント発生時の迅速な対応体制
セキュリティ投資は「コスト」ではなく「患者との信頼関係を守る投資」です。適切な対策により、安心して医療を受けられる環境を維持していきましょう。
