電子カルテシステムへのサイバー攻撃、医療現場の混乱と患者の生命リスク

背景

医療機関のデジタル化が進む中、電子カルテシステム、医療画像管理システム（PACS）、検査システム、薬剤管理システムなど、患者の診療に不可欠なITシステムがサイバー攻撃の標的となるケースが国内外で相次いでいます。2022年には大阪の大規模病院がランサムウェア攻撃を受け、約2ヶ月間にわたり電子カルテが使用不能となり、救急患者の受け入れ停止、手術の延期、紙カルテでの運用を余儀なくされました。医療機関への攻撃は、金銭的被害だけでなく、診療の遅延や医療ミスを誘発し、最悪の場合は患者の生命に直結する「人道的危機」を引き起こす可能性があります。医療機関は一般企業に比べてIT予算やセキュリティ人材が限られていることが多く、レガシーシステムや古いOSが稼働し続けているケースも多いため、攻撃者にとって「狙いやすく、身代金を支払いやすい」標的となっています。

実態

医療機関への攻撃経路は、VPN機器の脆弱性悪用、リモートデスクトップ（RDP）への総当たり攻撃、医療従事者を狙ったフィッシングメールが主流です。医療従事者は多忙であり、セキュリティ教育の時間確保が難しいため、不審なメールを開封してしまうリスクが高い傾向があります。また、医療機器メーカーの保守用リモートアクセス経路や、医療機器に組み込まれた古いOS（Windows XP、Windows 7など）の脆弱性を突いた攻撃も確認されています。侵入後、攻撃者は電子カルテサーバー、バックアップサーバー、画像保管サーバーを一斉に暗号化します。特に悪質なケースでは、暗号化前に患者の診療記録、病歴、検査結果などの機密性の高い医療情報を窃取し、「身代金を支払わなければ患者情報をダークウェブで公開する」という二重恐喝を行います。米国では、病院がランサムウェア攻撃を受けて救急患者の受け入れができなくなり、転送先の病院への搬送中に患者が死亡した事例も報告されており、サイバー攻撃が直接的に人命を脅かす事態となっています。

影響と対策

医療機関へのサイバー攻撃は、診療停止による患者への医療提供不能、救急患者の転送、手術の延期、患者情報の漏えいによる二次被害、医療機関の信頼失墜、復旧費用の膨大化など、社会的影響が極めて大きい事態です。対策としては、まず境界防御の強化が不可欠です。FortiGateやCheck Pointなどの次世代ファイアウォールを導入し、VPN機器の脆弱性に対する仮想パッチング、IPS機能による既知攻撃のブロック、多要素認証の徹底が重要です。また、医療機関特有の課題として、医療機器ネットワークとオフィスネットワークの厳格な分離（ネットワークセグメンテーション）を実施し、万が一の侵害時にも医療機器への影響を最小限に抑える設計が推奨されます。バックアップ戦略では、3-2-1ルール（3つのコピー、2種類の媒体、1つはオフライン）に基づくオフラインバックアップの確保と定期的な復旧訓練が必須です。さらに、レガシーシステムや医療機器の更新が困難な場合は、仮想パッチングやマイクロセグメンテーションにより、脆弱性を持つシステムを保護する対策が有効です。厚生労働省の「医療情報システムの安全管理に関するガイドライン」に準拠した対策の実装も、法的義務として重要です。

まとめ

医療機関へのサイバー攻撃は、もはや単なる情報セキュリティの問題ではなく、患者の生命と地域医療を守る社会的責任の問題です。限られた予算と人材の中でも、優先順位をつけた実効性のある対策が求められます。特に境界防御とネットワーク分離、そして確実なバックアップは、比較的導入しやすく効果の高い対策です。PSI社では、医療機関特有の制約を理解した上で、FortiGateやCheck Point製品を活用した実践的なセキュリティ対策の設計・導入・運用支援を通じて、地域医療を支える医療機関のサイバーレジリエンス向上に貢献いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp