2026.02.17薬剤師 , 業界情報

医療機関を対象としたサイバー攻撃の現状と対応すべきセキュリティ対策

このエントリーをはてなブックマークに追加
Pocket

医療機関を対象としたサイバー攻撃の現状と対応すべきセキュリティ対策

医療機関におけるサイバーセキュリティは、患者の命を守るための「医療安全」の最優先事項です。本記事では医療機関が直面している現状と、取り組むべき具体的な対策について解説します。

目次
  1. サイバー攻撃とは
  2. 医療機関を対象としたサイバー攻撃の事案
  3. サイバー攻撃を受けた場合の代表的なリスク
  4. 医療機関が行うべきサイバーセキュリティ対策
  5. まとめ

サイバー攻撃とは

サイバー攻撃とは

サイバー攻撃とは、悪意を持った第三者がネットワークを通じてコンピュータシステムに侵入し、データの破壊や窃取、改ざん、あるいはシステムの停止を引き起こす行為の総称です。

かつてのサイバー攻撃は技術力の誇示が目的であることも多くありましたが、近年では金銭の奪取や政治的・軍事的な混乱を目的としたプロフェッショナルな犯罪組織による攻撃へと変貌しています。

ここでは、医療機関が特に警戒すべき主な攻撃手法について、その詳細を解説します。

ランサムウェア(身代金要求型ウイルス)

現在、医療機関にとって最大の脅威となっているのが「ランサムウェア」です。これは、システム内のデータを勝手に暗号化して読み取れない状態にし、「元に戻してほしければ金銭(身代金)を支払え」と要求するマルウェアです。

さらに近年では「二重恐喝」と呼ばれる手口が主流となっています。これはデータの復旧だけでなく、「支払いに応じなければ、盗み出した患者の個人情報をダークウェブに公開する」と脅す手法です。医療機関は、診療の継続とプライバシー保護という二重の弱みを突かれることになります。

標的型攻撃(ソーシャルエンジニアリング)

不特定多数を狙うバラマキ型のメールとは異なり、特定の病院や職員をターゲットにする手法です。例えば、「厚生労働省からの通達」や「製薬会社の新薬情報」「学会の案内」などを装った精巧な偽メールを送信します。
受信者が添付ファイルを開いたり、リンクをクリックしたりすることで、内部ネットワークへの侵入経路(バックドア)が作られます。

一度侵入を許すと、攻撃者は数ヶ月にわたってネットワーク内を探索し、最も価値の高いデータ(電子カルテサーバーなど)を見つけ出してから攻撃を開始します。

サプライチェーン攻撃

セキュリティが強固な大規模病院を直接狙うのではなく、その病院と接続されている保守業者や清掃・給食業者、提携クリニックなどの脆弱なポイントを足掛かりにする手法です。
特に、電子カルテの保守のために設置されているVPN(仮想専用線)機器の脆弱性が放置されているケースがよくあり、ここが裏口となって病院中枢へ侵入される被害が多発しています。

Emotet(エモテット)

非常に感染力が強く、情報の窃取や他のマルウェアへの感染を媒介する攻撃メールです。過去にやり取りしたメールの返信を装うなど、一見して不審と気づきにくい特徴があります。医療機関内の端末が1台でも感染すると、組織全体に一気に拡散するリスクがあります。

医療機関を対象としたサイバー攻撃の事案

医療機関を対象としたサイバー攻撃の事案

近年発生したサイバー攻撃の事例を3つ紹介します。

発生時期 概要
2022年 給食事業者のVPN経由で侵入されるサプライチェーン攻撃によりランサムウェアに感染。電子カルテが停止し、手術や外来診療の受け入れが一時中止されました。
2024年 ランサムウェア攻撃を受け、症例情報などが標的となりましたが、匿名化されていたため特定の個人特定には至らなかったとされています。
2024年 ランサムウェア攻撃により電子カルテシステムに不具合が発生。救急診療の制限や予約の取り直しなど、地域医療への影響が生じました。

サイバー攻撃を受けた場合の代表的なリスク

なぜ、これほどまでに医療機関が狙われるのでしょうか。それは、医療機関が保有する情報の価値と緊急性が、攻撃者にとって極めて魅力的な「商品」だからです。サイバー攻撃を受けた場合、具体的には以下のようなリスクが考えられます。

診療機能の完全停止による命の危機

製造業であればラインが止まるだけで済みますが、医療機関ではそうはいきません。電子カルテが停止すれば、患者の既往歴やアレルギー情報、現在処方されている薬の確認が不可能になります。

  • 周辺地域の救急搬送体制が崩壊する
  • がん手術などの一刻を争う治療が数週間単位で遅れるリスクがある
  • 紙運用への切り替えがスムーズにいかない場合、投薬や処置における人為的なミスが発生しやすくなる

莫大な経済的損失と経営破綻のリスク

サイバー攻撃を受けた際の損害は、目に見えるものだけではありません。過去には、攻撃を受けたことがきっかけで経営が立ち行かなくなるケースも報告されています。

  • 外来の中止や入院制限により、減収が発生する
  • 専門家による調査やシステムの再構築には、数千万円から数億円の費用がかかる
  • 個人情報が漏洩した場合、患者一人ひとりに対する謝罪や見舞金の支払いが発生する可能性がある

社会的信用の失墜

一度「セキュリティの甘い病院」というレッテルを貼られると、患者からの信頼を失うだけでなく、優秀な医師や看護師の採用にも悪影響を及ぼします。また、地域医療連携において他院からの紹介が減るなど、目に見えない長期的なダメージも深刻です。

法的・行政的リスク

個人情報保護法に基づく報告義務に加え、厚生労働省のガイドライン違反として指導の対象となる可能性があります。また、理事長や院長といった経営層が「善管注意義務違反」として法的責任を問われるリスクも否定できません。

医療機関が行うべきサイバーセキュリティ対策

医療機関が行うべきサイバーセキュリティ対策

「うちは地方の小さな病院だから狙われない」という考えは、もはや通用しません。攻撃者はインターネット上を無差別にスキャンし、脆弱な箇所を探し続けています。

以下に挙げる対策は、厚生労働省による「医療機関等におけるサイバーセキュリティ対策の取組みについて」においても言及されている、医療機関が取り組むべき最低限の防衛策です。

パスワードを強固なものに変更し、使い回しをしない

パスワードの強化はセキュリティ対策の基本中の基本ですが、最も形骸化しやすい部分です。「123456」や「password」「hospital123」といった推測されやすいものは避けましょう。英大文字・小文字・数字・記号を混在させ、最低でも12文字以上、できれば15文字以上の長さを推奨します。

また、パスワードの使い回しも徹底的に避けましょう。例えば、ある職員がプライベートで利用しているSNSのパスワードが漏洩し、それと同じID・パスワードで病院のメールシステムにログインされるケースなどがあります。「一つのサービスに一つのパスワード」を徹底させなければなりません。

さらに多要素認証(MFA)の導入も有効です。パスワードに加えて、スマートフォンの認証アプリや指紋・顔認証を組み合わせます。これにより、たとえパスワードが盗まれても、物理的なデバイスを持たない攻撃者はログインできなくなります。

IoT機器を含む情報資産の通信制御を確認する

現代の医療現場は、多くの機器がネットワークでつながっています。しかし、これらの「医療機器」はPCに比べてOSの更新が難しく、セキュリティの死角になりやすいのが現状です。

まずは、院内LANに何がつながっているのかをすべて把握することから始めましょう。電子カルテ端末だけでなく、ナースコールシステム、PACS(画像管理システム)、検体検査装置、輸液ポンプ、さらには事務室の複合機や監視カメラまでリストアップします。

そのうえでネットワークのセグメンテーション(分離)を行ってください。例えば、以下のような対策が考えられます。

  • 電子カルテ系:外部から完全に隔離、または厳格なゲートウェイ経由のみ
  • 事務系:インターネット接続を許可するが、カルテ系とは分離
  • ゲスト用Wi-Fi:患者用Wi-Fiから院内システムには絶対にアクセスできないよう物理的・論理的に分離

また、空いているLANポートに私物のPCを接続できないよう、物理的なロックやMACアドレス認証(許可された機器以外は通信させない仕組み)も検討するとよいでしょう。

ネットワーク機器の脆弱性に、ファームウェア等の更新を迅速に適用する

近年の大規模な医療機関への侵入事件の多くは、「既知の脆弱性」を放置していたことが原因です。

特に外部から病院ネットワークに接続するためのVPN装置は、攻撃者にとっての「正門」です。メーカーから脆弱性情報が出たら、数日以内にアップデートを適用する必要があります。

また、サポート終了製品の廃棄も徹底しましょう。Windows 7やWindows8、あるいは古いサーバーOSなど、メーカーのサポートが切れた製品を使い続けることは、窓ガラスが割れたまま放置している家と同じです。速やかに最新OSへリプレースするか、どうしても動かす必要がある場合はネットワークから完全に切り離す処置をとってください。

「システムのことは業者に任せている」という病院も少なくありませんが、保守契約にセキュリティパッチの適用が含まれているか確認してください。含まれていない場合、脆弱性が放置される原因となり得ます。

厚生労働省は毎年のように巧妙化する攻撃手法に合わせて、ガイドラインやチェックリストを更新しています。「令和7年度版医療機関におけるサイバーセキュリティ対策チェックリスト」などを参考にし、適切な対策を講じてください。

まとめ

サイバー攻撃は「運が悪かった」では済まされない時代になりました。患者から預かった大切なデータと、提供し続けるべき医療サービスを守ることは、消毒や手洗いを行うのと同様、現代の医療機関における標準予防策です。

まずは、厚生労働省のガイドラインやチェックリストを参照し、自院の現状を1項目ずつ確認することから始めてください。パスワードの変更とバックアップの確認を徹底するなど、今日からできる一歩が患者の命を救うことにつながります。

※この記事は情報提供を目的としており、株式会社ユヤマ・株式会社湯山製作所の企業としての見解を示すものではございません。記事に関するご意見・ご感想はお気軽にお寄せください。

☆記事についてのご意見・ご感想はこちらからお願いします☆

次世代薬剤業務支援システム YUNiCOM-GX:ファーマシューティカルケアの理念に基づく薬物療法の実践を支えます。薬学的支援が必要な患者様を自動で抽出するシステムも搭載

保険薬局向け調剤支援システム YUNiCOM-zero:調剤室での機器操作を限りなくゼロに。対人業務の時間を創出する未来のシステムが新登場。

選べるモードで最終鑑査をサポート:スピーディーな一括照合と、数量までチェックする個別照合が選択可能。調剤におけるヒューマンエラーを防ぎます。

タグ : 薬剤師 サイバーセキュリティ
このエントリーをはてなブックマークに追加
Pocket

The following two tabs change content below.
株式会社ユヤマ

株式会社ユヤマ

弊社は、病院や保険薬局における調剤機器や設備・システム及び滅菌器、さらに無床診療所向け電子カルテの製造や開発と販売をおこなう専門メーカーです。本ページでは、薬剤師や医師の先生に向けて、「調剤機器業界の動向」や「クリニック経営」、「電子カルテ」に関するお役立ち情報を発信するコンテンツサイトです。最新記事の更新は、メルマガにてお知らせしております。

この記事に関連する記事