病院へのサイバー攻撃が、全国で相次いでいます。電子カルテが使えなくなる。救急や外来の受け入れを制限せざるを得なくなる。患者の個人情報や診療情報が流出する。こうした被害は、すでに国内の医療機関で現実に起きています。
病院のサイバー攻撃というと、「大きな大学病院や都市部の基幹病院だけが狙われる」と思われがちです。しかし実際には、地方の病院、中小規模のクリニック、委託先を通じた攻撃も発生しています。攻撃者から見ると、病院は「止められると困る重要なシステム」と「価値の高い医療情報」を持つ、非常に狙いやすい標的です。
さらに、2023年4月からは医療法施行規則の改正により、医療機関におけるサイバーセキュリティ対策が義務化されています。厚生労働省も医療分野のサイバーセキュリティ対策として、ガイドラインやチェックリスト、BCP策定の確認表を公表しています。
この記事では、CyberCrewのホワイトハッカーの視点から、病院がサイバー攻撃に狙われる理由、国内の最新事例、主な攻撃手口、被害が起きたときの影響、そして今すぐ取り組むべき対策をわかりやすく整理します。
サイバー攻撃への対策は、被害が起きてからでは遅い場合がほとんどです。CyberCrewでは、脆弱性診断やペネトレーションテストを通して複数名のホワイトハッカーが在籍し、攻撃者が実際に狙うポイントから医療機関のリスクを現場感のある視点で評価します。まずは無料でご相談ください
TABLE OF CONTENTS
病院へのサイバー攻撃が深刻化している最新の実態【2026年最新】
病院へのサイバー攻撃は、一部の大規模病院だけの問題ではありません。全国の医療機関で、ランサムウェア、VPN機器の脆弱性悪用、委託先経由の侵入、医療機器・周辺システムへの攻撃が確認されています。
特に深刻なのが、ランサムウェアです。ランサムウェアは、院内のデータやシステムを暗号化して使えなくし、復旧と引き換えに身代金を要求する攻撃です。近年は、データを暗号化するだけでなく、先に患者情報や職員情報を盗み出し、「支払わなければ公開する」と脅す二重恐喝型も増えています。
警察庁の令和7年上半期におけるサイバー空間をめぐる脅威の情勢等では、ランサムウェア被害の報告件数が高い水準で推移していることが示されています。また、感染経路としてVPN機器やリモートデスクトップが大きな割合を占めており、外部から院内ネットワークへ入るリモートアクセス経路の管理が重要になっています。
病院の場合、攻撃による影響は単なる情報漏えいにとどまりません。診療、検査、手術、救急受け入れ、会計、薬剤管理、給食、ナースコールなど、医療提供そのものに影響します。ここが、一般企業のサイバー攻撃被害とは大きく違う点です。
医療・福祉分野のランサムウェア被害件数の推移
警察庁の資料では、ランサムウェア被害は製造業、卸売・小売業、サービス業など幅広い業種で発生しています。その中で、医療・福祉分野でも継続的に被害が確認されています。
公開資料で確認しやすい節目を整理すると、次のようになります。
| 時期 | ランサムウェア被害全体 | 医療・福祉分野の状況 | ポイント |
|---|---|---|---|
| 2022年 | 230件 | 20件 | 医療機関の被害が目立ち始めた時期 |
| 2024年上半期 | 114件 | 7件 | 半期単位でも医療・福祉分野の被害が継続 |
| 2025年上半期 | 116件 | 医療機関での被害事例が継続 | VPN機器・RDP経由の侵入が引き続き主要経路 |
件数は年や半期によって増減します。そのため「毎年一直線に増えている」と単純化するのは正確ではありません。しかし、医療・福祉分野でランサムウェア被害が継続的に発生していることは明らかです。
また、医療機関の被害は1件あたりの影響が大きくなりやすいという特徴があります。電子カルテが止まるだけでなく、診療制限、救急受け入れ停止、患者への説明、個人情報保護委員会への報告、復旧作業、問い合わせ対応まで発生するためです。
2021〜2026年に起きた主なサイバー攻撃の時系列まとめ
国内の病院・医療機関で発生した主なサイバー攻撃を時系列で見ると、被害が全国に広がっていることが分かります。
| 年 | 医療機関 | 主な被害 |
|---|---|---|
| 2021年 | 徳島県つるぎ町立半田病院 | ランサムウェアにより電子カルテを含む院内システムが停止 |
| 2022年 | 大阪急性期・総合医療センター | 委託先経由の攻撃で電子カルテを含む総合情報システムが停止 |
| 2024年 | 国分生協病院 | 画像管理サーバーがランサムウェア攻撃を受け、救急・一般外来を制限 |
| 2024年 | 岡山県精神科医療センター | ランサムウェア被害により最大約4万人分の患者情報等が流出した可能性 |
| 2025年 | 宇都宮セントラルクリニック | ランサムウェア攻撃により最大約30万人分の個人情報が漏えいした可能性 |
| 2026年 | 日本医科大学武蔵小杉病院 | 医療機器保守用VPN装置を経由したランサムウェア攻撃で個人情報が漏えい |
この年表から分かるのは、病院へのサイバー攻撃が一過性の事件ではなく、継続的に起きているということです。大規模病院だけでなく、地方病院やクリニックも被害を受けています。
侵入経路の8割以上はVPN機器・リモートデスクトップ関連
病院のサイバー攻撃で特に注意すべき入口が、VPN機器やリモートデスクトップです。
VPNは、院外から院内システムに安全に接続するための仕組みです。医療機器ベンダー、電子カルテベンダー、保守業者、委託先が遠隔でメンテナンスするために使われることがあります。便利な一方で、古いまま放置されたVPN機器や、弱いパスワード、不要な接続経路は、攻撃者にとって格好の入口になります。
警察庁の令和7年上半期資料では、ランサムウェアの感染経路としてVPN機器経由が約62%、リモートデスクトップ経由が約22%とされ、両者を合わせると8割を超えます。
つまり、病院の対策で最優先すべきなのは、「どのVPN機器が存在するか」「誰が使っているか」「最新状態か」「多要素認証が有効か」「不要な接続が残っていないか」を確認することです。
特に怖いのは、自院の担当者が把握していないVPN機器です。医療機器の保守、委託先との接続、過去に設置された遠隔保守用機器などが残っている場合、そこが侵入口になる可能性があります。
「自院は大丈夫」と思っていても、外部から見えていない侵入口が残っているケースは少なくありません。CyberCrewでは、攻撃者視点で院内外の弱点を洗い出し、優先すべき対策を整理します。サイバー攻撃は事前の対策で被害を最小限に食い止めることができます。まずはお気軽にご相談ください。
日本国内の病院サイバー攻撃事例6選【地域別・被害規模別】
ここからは、日本国内で実際に起きた病院・医療機関のサイバー攻撃事例を紹介します。
大病院だけではありません。クリニック、地方病院、委託先を通じた攻撃、電子カルテ以外の周辺システムを狙った攻撃など、さまざまな形で被害が発生しています。
事例を見ると、自院に置き換えて考えるべきポイントが見えてきます。
日本医科大学武蔵小杉病院(2026年2月)
日本医科大学武蔵小杉病院は、2026年2月、医療情報システムの一部がランサムウェア攻撃を受け、患者の個人情報が漏えいしたことを公表しました。
同院の第2報では、侵入経路として医療機器保守用VPN装置からの侵入が確認され、ナースコールシステムサーバーに保存されていた患者情報が窃取されたものとして調査中であると説明されています。また、第4報では、攻撃を受けたシステムがナースコールシステムサーバー3台であること、所轄行政機関への報告や厚生労働省初動対応チームの派遣を受けていることが示されています。
一部報道では、約1万人分の個人情報が漏えいし、身代金として約1億ドル、円換算で約150億円規模の要求があったとされています。病院側は身代金要求には応じない方針と報じられています。
この事例の重要な点は、電子カルテ本体ではなく、ナースコールシステムという周辺システムが攻撃対象になったことです。病院では、電子カルテ以外にも多くのシステムがネットワークにつながっています。医療機器、ナースコール、画像管理、検査、給食、会計、予約など、どれか一つが弱点になる可能性があります。
宇都宮セントラルクリニック(2025年2月)
宇都宮セントラルクリニックは、2025年2月10日にシステム障害が発生し、調査の結果、サーバーがランサムウェア攻撃を受けたことを公表しました。
同院の不正アクセスに伴う情報漏えいの可能性および当面の業務制限についてでは、サーバーに記録されていた個人情報が最大約30万名分に及ぶとされています。情報には、患者や健康診断受診者の氏名、生年月日、性別、住所、電話番号、メールアドレス、診療情報、健康診断情報などが含まれていました。
この事例は、「大きな病院だけが狙われる」という考え方が危険であることを示しています。クリニックであっても、患者情報、健診情報、職員情報など、攻撃者にとって価値のある情報を持っています。
また、システム障害により業務制限が発生すると、予約、健診、外来対応、患者への説明に大きな影響が出ます。小規模・中規模の医療機関ほど、情報システム専任者が限られているため、発生後の対応負担も重くなりやすいです。
岡山県精神科医療センター(2024年5月)
岡山県精神科医療センターでは、2024年5月にランサムウェア攻撃が発生しました。公表情報によると、統合情報システムの共有フォルダに保存されていたデータが流出し、最大約4万人分の患者情報などが流出した可能性があるとされています。
2025年2月には、同センターのランサムウェア事案調査報告書が公表されました。報告書では、ランサムウェア攻撃のリスク低減には、ソフトウェアの脆弱性修正、ウイルス対策ソフトの稼働、推測されにくいパスフレーズの利用など、基本的な対策が重要であることが示されています。
この事例から分かるのは、電子カルテだけでなく、共有フォルダや統合情報システムに置かれたデータもリスクになるということです。
病院では、診療情報、会議資料、患者リスト、委員会資料、職員情報などが複数の場所に保存されています。電子カルテ本体を守るだけではなく、ファイルサーバーや共有フォルダ、業務用端末も含めて守る必要があります。
国分生協病院(鹿児島県・2024年2月)
鹿児島県の国分生協病院は、2024年2月27日深夜から画像管理サーバーがランサムウェア攻撃を受け、正常に運用できなくなったことを公表しました。
同院の画像管理サーバーの障害発生についてでは、救急および一般外来の受け入れを制限しながら診療していること、電子カルテや医事会計は正常稼働しているものの、画像管理サーバー内の診療記録PDFファイルの一部が暗号化されたことが説明されています。
この事例の特徴は、電子カルテではなく画像管理サーバーが攻撃された点です。医療機関では、CT、MRI、X線、内視鏡、超音波などの検査画像を扱うシステムが重要な役割を持っています。
画像管理システムが止まると、診断、検査、救急対応、外来診療に影響します。電子カルテが動いていても、画像が見られないだけで診療制限につながることがあります。
大阪急性期・総合医療センター(2022年10月)
大阪急性期・総合医療センターは、2022年10月31日早朝に発生したサイバー攻撃により、電子カルテを含む総合情報システムが利用できなくなりました。
同センターのインシデント調査報告書についてでは、救急診療、外来診療、予定手術などの診療機能に大きな支障が生じたことが説明されています。
調査報告書の概要では、給食事業者側のシステムに設置されたVPN機器の脆弱性を用いた侵入、病院給食サーバーへの侵入、そこから病院内システムへ攻撃が広がった流れが整理されています。これは、委託先や取引先を経由して本命の組織に侵入するサプライチェーン攻撃の代表的な事例です。
さらに、2025年には、当該インシデントに関して関係事業者3社が計10億円を支払うことで和解したことも公表されています。情報セキュリティインシデント発生に伴う和解成立についてでは、10億円の支払い合意が示されています。
この事例から学ぶべきことは、自院のシステムだけを見ていても不十分だということです。給食、清掃、検査、医療機器保守、電子カルテベンダー、ネットワーク構築会社など、外部委託先も含めたリスク管理が必要です。
徳島県つるぎ町立半田病院(2021年10月)
徳島県つるぎ町立半田病院は、2021年10月31日未明、ランサムウェア攻撃を受けました。電子カルテをはじめとする院内システムが感染し、カルテが閲覧できなくなるなど大きな被害が発生しました。
同院はコンピュータウイルス感染事案有識者会議調査報告書を公表し、2022年1月4日に通常診療を再開したことを説明しています。約2か月にわたり、紙カルテを使った運用を余儀なくされました。
関係者の講演や事例紹介では、紙カルテ約5,000冊分の情報を電子カルテに再入力する必要があったことも語られています。システムが停止すると、復旧作業は単に「バックアップから戻す」だけでは終わりません。紙で行った診療記録、処方、検査、会計などを後から整合させる必要があり、現場には非常に大きな負担がかかります。
半田病院の事例は、日本の医療機関におけるランサムウェア被害の象徴的な事例として、今も多くの病院が学ぶべき教訓を含んでいます。
紹介した事例はいずれも、大規模病院だけでなく地方病院・クリニック・委託先経由まで、被害の形はさまざまです。「自院には関係ない」と言い切れる事例は一つもありません。CyberCrewでは、ホワイトハッカーが医療機関の外部公開資産・VPN・委託先接続を攻撃者視点で確認し、どこから侵入される可能性があるかを評価します。まずは無料でご相談ください。
なぜ病院がサイバー攻撃に狙われるのか|攻撃者視点で解説する5つの理由
「なぜ病院が狙われるのか」と疑問に思う方は多いです。病院は金融機関のように直接お金を扱うイメージが薄く、攻撃しても利益が出にくいように見えるかもしれません。
しかし、攻撃者視点で見ると、病院は非常に魅力的な標的です。理由は大きく5つあります。
患者の個人情報・医療情報がダークウェブで高値取引される
病院が持つ情報は、攻撃者にとって価値があります。
氏名、住所、電話番号、生年月日だけでなく、保険情報、診療情報、既往歴、検査結果、家族情報、勤務先情報が含まれる場合もあります。クレジットカード番号は停止・再発行できますが、病歴や生年月日、過去の診療情報は簡単に変更できません。
IBMは、医療データの漏えいコストが他業界と比べて高い水準にあることを示しています。IBMのData Breachに関する解説では、2025年の医療分野の平均データ侵害コストが742万米ドルで、業界別で高い水準にあると説明されています。
医療情報は、なりすまし、保険詐欺、詐欺電話、脅迫、フィッシング、二次被害に悪用される可能性があります。攻撃者にとっては、単なるメールアドレスやクレジットカード番号よりも長く悪用しやすい情報です。
医療は止められない=身代金を支払いやすい構造
病院は、システムが止まっても「明日まで休む」という判断がしにくい組織です。救急、入院、手術、検査、薬剤、会計、診療予約など、止められない業務が多くあります。
攻撃者は、この構造を理解しています。
ランサムウェアで電子カルテや検査システムが止まると、病院は早期復旧を強く迫られます。患者の安全、地域医療、救急受け入れ、職員の業務負担を考えると、経営判断として非常に厳しい状況に置かれます。
もちろん、身代金を支払ってもデータが必ず復旧する保証はありません。盗まれた情報が公開されない保証もありません。犯罪者への資金提供につながる問題もあります。そのため、身代金支払いに頼らず復旧できる体制を平時から整えることが重要です。
セキュリティ予算・人材が慢性的に不足している
多くの病院では、情報システム担当者が少人数で幅広い業務を担っています。
電子カルテ、医事会計、予約システム、ネットワーク、端末、プリンター、医療機器連携、ベンダー対応、職員からの問い合わせ対応まで、日常業務だけでも手一杯になりがちです。その中で、脆弱性管理、ログ監視、EDR運用、インシデント対応訓練、BCP策定まで行うのは簡単ではありません。
厚生労働省はサイバー攻撃を想定した事業継続計画(BCP)策定の確認表を公開し、リスクを完全に排除することはできないため、インシデント発生時の初動対応や事業継続の準備が必要であるとしています。
セキュリティ対策は、機器を買えば終わりではありません。継続的な更新、監視、訓練、棚卸し、委託先管理が必要です。人材と予算が不足している病院ほど、外部専門家の活用を含めた現実的な体制づくりが求められます。
外部業者・医療機器との連携で侵入経路が多い
病院は、多くの外部業者と接続しています。
- 電子カルテベンダー
- 医療機器メーカー
- 画像管理システムベンダー
- 検査会社
- 給食業者
- 清掃・設備管理会社
- ネットワーク保守会社
- クラウドサービス事業者
この接続のどこか一つでも弱ければ、攻撃者の入口になります。
大阪急性期・総合医療センターの事例では、給食事業者側のシステムに設置されたVPN機器の脆弱性が入口の一つと整理されています。武蔵小杉病院の事例でも、医療機器保守用VPN装置が侵入経路として示されています。
つまり、病院のサイバーセキュリティは「院内だけを守ればよい」ものではありません。外部委託先、保守回線、リモートアクセス、接続先の管理まで含めて考える必要があります。
レガシーシステムとIoT医療機器の脆弱性が放置されやすい
病院には、長期間使われるシステムや医療機器が多くあります。
一般的なPCやスマホは数年で更新されますが、医療機器は10年以上使われることも珍しくありません。CT、MRI、輸液ポンプ、生体情報モニター、検査機器、画像管理システムなどがネットワークに接続されている場合、古いOSやソフトウェアが残っていることがあります。
厚生労働省の医療情報システムの安全管理に関するガイドライン第6.0版では、IoT機器について、製造販売業者から提供されるサイバーセキュリティ情報を基にリスク分析を行うこと、セキュリティ上重要なアップデートを適切に実施する方法を検討すること、使用停止した機器をネットワークに接続したまま放置しないことなどが示されています。
医療機器は「動いているから大丈夫」ではありません。ネットワークにつながっている以上、攻撃対象になり得ます。
病院は攻撃者から「コスパの良い標的」と見られている
ここまでの理由をまとめると、攻撃者から見た病院は「コスパの良い標的」です。
- 価値の高い医療情報を持っている
- システム停止が診療に直結する
- 早期復旧を迫られるため圧力をかけやすい
- 外部業者との接続が多く侵入口が多い
- 古い機器やシステムが残りやすい
- 情報システム担当者や予算が限られがち
攻撃者は「有名な病院だから狙う」とは限りません。侵入しやすく、支払い圧力をかけやすく、盗んだ情報に価値がある組織を狙います。その意味で、地域病院やクリニックも例外ではありません。むしろ、セキュリティ対策が手薄だと見られれば、攻撃対象になる可能性があります。
攻撃者は「狙いやすい病院」を探しています。医療情報の価値の高さ、診療を止められない構造、外部接続の多さ——これらは、対策なしに放置すれば攻撃者にとっての好条件になります。CyberCrewでは、実際の攻撃者が使う手法で自院のリスクを評価し、どこを優先して守るべきかを具体的に整理します。サイバー攻撃は事前の対策で被害を最小限に食い止めることができます。まずは無料でご相談ください。
病院を狙う主要なサイバー攻撃の手口4大パターン
病院へのサイバー攻撃には、いくつか代表的なパターンがあります。ここでは、国内事例でも多く見られる4つの手口を整理します。
ランサムウェア攻撃(二重恐喝が主流)
病院を狙う攻撃で最も深刻なのが、ランサムウェア攻撃です。
従来のランサムウェアは、データを暗号化し、復旧と引き換えに身代金を要求する手口でした。しかし近年は、暗号化の前にデータを盗み出し、「支払わなければ公開する」と脅す二重恐喝型が主流になっています。
病院の場合、盗まれる可能性がある情報は非常にセンシティブです。
- 患者氏名
- 住所・電話番号
- 診療情報
- 検査結果
- 健康診断情報
- 職員情報
- 取引先情報
武蔵小杉病院、宇都宮セントラルクリニック、半田病院、大阪急性期・総合医療センターなど、国内の医療機関被害の中心にはランサムウェアがあります。
サプライチェーン攻撃(取引先・委託業者経由)
サプライチェーン攻撃とは、直接病院に侵入するのではなく、委託先や取引先を経由して病院を狙う攻撃です。
大阪急性期・総合医療センターの事例では、給食事業者側のシステムを経由した侵入が報告されています。この事例は、医療機関にとって非常に重要です。
病院の中には、電子カルテや医療機器だけでなく、給食、清掃、検査、物流、設備管理、ネットワーク保守など、多くの外部業者が関わっています。委託先のセキュリティが弱ければ、そこから病院ネットワークに近づかれる可能性があります。
委託先管理では、次の確認が必要です。
- 委託先がどのシステムに接続できるか
- 遠隔保守用のVPNやRDPがあるか
- 多要素認証が使われているか
- 不要な接続が残っていないか
- インシデント発生時の連絡体制があるか
自院の対策だけでなく、接続している外部業者も含めた管理が必要です。
標的型攻撃メール
標的型攻撃メールは、病院職員や医療従事者を狙って、不審な添付ファイルやURLを開かせる攻撃です。
医療機関では、日常的に多くのメールが届きます。取引先、患者、行政、研究機関、医療機器メーカー、学会、採用応募、問い合わせなど、業務上さまざまなメールを確認しなければなりません。
攻撃者は、そこを狙います。
- 医療機器メーカーを装った更新案内
- 行政通知を装った添付ファイル
- 学会案内を装ったURL
- 患者問い合わせを装った文面
- 請求書や見積書を装ったファイル
1人の職員が添付ファイルを開いたことをきっかけに、端末感染、認証情報窃取、社内ネットワークへの侵入につながることがあります。
技術対策だけでなく、職員教育と訓練が重要です。
VPN機器・リモートデスクトップの脆弱性悪用
警察庁統計でも特に目立つのが、VPN機器とリモートデスクトップを経由した侵入です。
VPNやRDPは、外部から院内システムに接続するために使われます。医療機器の保守、電子カルテのメンテナンス、委託先の遠隔対応などには便利です。しかし、古いVPN機器、未更新のファームウェア、弱いパスワード、多要素認証なしの接続は非常に危険です。
病院で特に注意すべきなのは、次のような接続です。
- 医療機器保守用VPN
- 電子カルテベンダーの遠隔保守回線
- 給食・検査・委託先の接続
- 古いリモートデスクトップ設定
- 退職者や旧ベンダーのアカウント
- 設置後に存在が忘れられたネットワーク機器
武蔵小杉病院の事例では、医療機器保守用VPN装置が侵入経路として示されています。大阪急性期・総合医療センターの事例でも、給食事業者側のVPN機器が重要な入口として整理されています。
病院のサイバー攻撃対策では、まずVPN・RDP・遠隔保守経路の棚卸しから始めるべきです。
病院がサイバー攻撃を受けた場合の5つの被害と影響
病院がサイバー攻撃を受けると、被害は情報システム部門だけでは収まりません。診療、患者、地域医療、経営、職員、委託先、行政対応まで広がります。
診療停止(電子カルテ閲覧不可・手術延期・救急受入停止)
最も深刻なのは、診療機能の停止です。
電子カルテが見られないと、過去の診療記録、処方歴、検査結果、アレルギー情報、紹介状、予約状況が確認しにくくなります。画像管理システムが止まれば、CTやMRIなどの検査画像を確認できなくなります。会計システムが止まれば、請求や受付業務も混乱します。
半田病院では、紙カルテ運用を余儀なくされました。大阪急性期・総合医療センターでは、救急診療や外来診療、予定手術などに大きな支障が生じました。国分生協病院では、救急および一般外来の受け入れを制限しました。
病院のサイバー攻撃は、単なるIT障害ではありません。地域医療の提供体制そのものに影響します。
患者の個人情報・診療情報の漏洩
患者情報の漏えいも重大な被害です。
宇都宮セントラルクリニックでは、最大約30万人分の患者・関係者情報が漏えいした可能性が公表されました。武蔵小杉病院では、患者個人情報の漏えいが公表されています。岡山県精神科医療センターでは、最大約4万人分の患者情報等が流出した可能性が示されました。
医療情報は、単なる住所録ではありません。診療内容、健康診断情報、病名、検査結果など、極めてセンシティブな情報が含まれる場合があります。
一度流出した情報は、完全に回収することが困難です。患者への通知、問い合わせ対応、謝罪、再発防止策、場合によっては損害賠償リスクも発生します。
金銭的損失(復旧費用・逸失利益・損害賠償)
サイバー攻撃による金銭的損失は、復旧費用だけではありません。
- フォレンジック調査費用
- システム復旧費用
- 端末・サーバーの再構築費用
- 外来・検査・手術制限による逸失利益
- 患者への通知・問い合わせ対応コスト
- 弁護士・広報対応費用
- 損害賠償・和解金
- 再発防止対策費用
大阪急性期・総合医療センターの事例では、2025年に関係事業者3社が計10億円を支払うことで和解が成立したことが公表されています。
サイバー攻撃対策には費用がかかります。しかし、被害後の復旧費用や診療制限による損失、信用低下まで考えると、平時の対策費用の方が結果的に安く済むことが少なくありません。
社会的信用の失墜
病院は、地域住民からの信頼で成り立っています。サイバー攻撃によって患者情報が流出したり、診療制限が続いたりすると、その信頼が大きく揺らぎます。
特に医療機関では、患者は非常に個人的な情報を預けています。病歴、検査結果、家族情報、健康診断結果が漏えいした可能性があると聞けば、不安になるのは当然です。
社会的信用の失墜は、次のような形で現れます。
- 患者からの問い合わせ増加
- 地域住民の不安
- 報道対応・広報対応の負担
- 職員の心理的負担
- 採用や紹介への影響
- 委託元・取引先からの信頼低下
セキュリティ対策は、単にシステムを守るためだけではありません。病院の信頼を守るための経営課題です。
最悪のケース:患者の生命への影響
医療機関へのサイバー攻撃で最も重いリスクは、患者の生命への影響です。
2020年には、ドイツのデュッセルドルフ大学病院がランサムウェア攻撃を受け、救急患者を受け入れられず、別の病院へ搬送された患者が死亡した事例が報じられました。その後、現地の捜査ではサイバー攻撃と死亡の直接的な因果関係について慎重な判断がなされていますが、医療機関のシステム停止が人命リスクにつながり得ることを世界に示した事例です。
また、英国では2024年に病理検査サービス事業者Synnovisがランサムウェア攻撃を受け、NHSの医療サービスに大きな影響が出ました。NHS EnglandのSynnovis cyber incidentでは、検査処理能力が大きく低下し、1万件を超える外来・予定手術等に影響が出たことが説明されています。2025年には、この攻撃に関連して患者死亡が確認されたと報じられました。
病院のサイバー攻撃は、単なるデータの問題ではありません。診療継続と患者安全の問題です。
病院へのサイバー攻撃の被害は、IT部門だけでは収まりません。だからこそ、被害が起きてからではなく、事前に対策を講じることが重要です。CyberCrewでは、脆弱性診断やペネトレーションテストを通して医療機関が抱えるリスクを攻撃者視点で評価し、経営層にも伝わる形で優先順位を整理します。サイバー攻撃は事前の対策で被害を最小限に食い止めることができます。まずは無料でご相談ください。
病院が今すぐ取り組むべきサイバー攻撃対策5項目
病院のサイバー攻撃対策は、何から始めればよいのでしょうか。
すべてを一度に完璧にするのは難しいです。まずは、被害事例で繰り返し問題になっている基本対策から着手することが重要です。
ネットワーク機器を最新の状態に保つ
VPN機器、ルーター、ファイアウォール、リモートアクセス機器は、必ず最新状態に保つ必要があります。
ネットワーク機器にも、PCやスマホと同じように脆弱性が見つかります。古いまま放置すると、攻撃者に侵入口として使われる可能性があります。
確認すべき項目は次のとおりです。
- 院内にあるVPN機器をすべて把握しているか
- 医療機器保守用VPNを把握しているか
- 委託先が使うリモート接続を把握しているか
- ファームウェアを更新しているか
- 不要なアカウントが残っていないか
- 多要素認証を設定しているか
- 外部接続ログを確認しているか
警察庁統計でVPN・RDPが主要な侵入経路になっている以上、病院の最優先対策は「外部から入れる入口の棚卸し」です。
データのバックアップを別の場所に保管する
ランサムウェア対策では、バックアップが非常に重要です。
ただし、単にバックアップを取っているだけでは不十分です。攻撃者は、バックアップも一緒に暗号化しようとします。院内ネットワークにつながったままのバックアップだけでは、被害時に使えなくなる可能性があります。
重要なのは、次の考え方です。
- 複数世代のバックアップを残す
- ネットワークから切り離したバックアップを持つ
- バックアップから実際に復旧できるか定期的に試す
- 電子カルテ以外の重要データも対象にする
- 復旧手順を紙でも確認できるようにする
厚生労働省のチェックリストやBCP関連資料でも、サイバー攻撃を想定した復旧体制の重要性が示されています。バックアップは「取る」だけでなく、「戻せる」ことが重要です。
ログイン時の本人確認を二重にする
パスワードだけに頼る運用は危険です。
職員アカウント、管理者アカウント、VPN、クラウドサービス、電子カルテベンダーの保守アカウントなどには、多要素認証を導入することが望まれます。
多要素認証とは、ログイン時にパスワードだけでなく、スマホの確認コード、認証アプリ、生体認証、セキュリティキーなどを組み合わせる仕組みです。簡単に言えば、ログインを二段階にする対策です。
特に優先すべき対象は次のとおりです。
- VPNアカウント
- リモートデスクトップ
- 管理者アカウント
- 電子カルテベンダーの保守用アカウント
- Microsoft 365やGoogle Workspace
- クラウド型業務システム
パスワードが漏れても、多要素認証があれば不正ログインを防げる可能性が高まります。
職員向けに定期的なセキュリティ研修を行う
病院のセキュリティでは、職員教育も欠かせません。
どれだけ高価なセキュリティ機器を入れても、職員が偽メールの添付ファイルを開いたり、偽サイトにID・パスワードを入力したりすれば、攻撃の入口になります。
職員研修では、次の内容を扱うと効果的です。
- 標的型メールの見分け方
- 不審な添付ファイルを開かない習慣
- 偽ログイン画面の見分け方
- USBメモリや外部記憶媒体の扱い
- 私物スマホ・私物PCの利用ルール
- インシデントを見つけたときの報告先
一度研修して終わりではなく、定期的に訓練することが大切です。特に標的型メール訓練は、費用対効果の高い対策の一つです。
万が一に備えた対応ルールを事前に決めておく
サイバー攻撃は、完全に防ぎきれません。だからこそ、被害が起きたときの対応ルールを事前に決めておく必要があります。
これがBCPです。BCPとは、事業継続計画のことです。病院で言えば、災害時の対応マニュアルのサイバー攻撃版と考えると分かりやすいです。
決めておくべき内容は次のとおりです。
- 誰が責任者になるか
- 最初にどこへ連絡するか
- 感染端末をどう隔離するか
- 電子カルテが止まったとき紙運用へどう切り替えるか
- 救急・外来・入院をどう判断するか
- 厚生労働省、警察、個人情報保護委員会への報告を誰が行うか
- 患者・地域・報道への説明をどう行うか
- どのタイミングで専門業者へ相談するか
厚生労働省は、サイバー攻撃を想定したBCP策定の確認表を公開しています。平時に決めていないことは、有事にはほとんど動けません。
基本対策の実施は重要です。しかし、チェックリストを埋めるだけでは、自院が認識していないVPNや委託先接続のリスクは見えてきません。CyberCrewでは、ホワイトハッカーが攻撃者の視点で医療機関の外部公開資産・VPN・漏えい認証情報・委託先接続を確認し、本当に守れているかを評価します。「何から始めればよいか分からない」という段階でも問題ありません。まずは無料でご相談ください。
病院のサイバー攻撃対策ならCyberCrew
ここまで紹介した5つの対策は、病院がまず取り組むべき基本です。しかし、正直に言うと、チェックリストを埋めるだけでは十分ではありません。
なぜなら、攻撃者はチェックリストの空欄を見て攻撃してくるわけではないからです。攻撃者は、外部から見えるVPN、放置された機器、弱いパスワード、委託先の接続、古い医療機器、使われていないアカウント、公開された認証情報を探します。
大阪急性期・総合医療センターの事例では、給食事業者側のVPN機器が攻撃の起点となりました。武蔵小杉病院の事例では、医療機器保守用VPN装置が侵入経路として示されています。つまり、自院が十分に認識していない接続経路が、最大の弱点になることがあります。
CyberCrewは、ホワイトハッカーが在籍するサイバーセキュリティ専門企業です。攻撃者視点で、医療機関の外部公開資産、VPN、Webシステム、クラウド、認証情報、委託先接続、ダークウェブ上の漏えい情報を確認し、実際にどこから侵入される可能性があるかを評価します。
CyberCrewが支援できる主な領域は、次のとおりです。
- 脆弱性診断:Webシステム、ネットワーク、クラウド環境の弱点を確認
- ペネトレーションテスト:実際の攻撃者視点で侵入可能性を検証
- ダークウェブモニタリング:職員アカウントや自院ドメインに関連する漏えい情報を調査
- VPN・外部公開資産の棚卸し支援
- インシデント対応体制・BCPの見直し支援
- 経営層向けのリスク説明資料作成支援
情報システム担当者だけでなく、事務長、医事課、経営層にも伝わる形で、リスクと優先順位を整理します。
「何から始めればいいか分からない」
「厚労省チェックリストには対応しているが、本当に守れているか不安」
「VPNや委託先接続のリスクを確認したい」
「自院の情報がダークウェブに出ていないか調べたい」
このような段階でも問題ありません。まずは現状を整理し、攻撃者からどう見えているかを確認することが第一歩です。
病院のサイバー攻撃についてよくある質問
ここでは、病院のサイバー攻撃についてよく聞かれる質問に回答します。結論を先に示し、その後に補足します。
2023年医療法改正で何が義務化されましたか?
2023年4月1日から、医療機関の管理者に対して、サイバーセキュリティ確保のために必要な措置を講じることが義務化されました。
厚生労働省によると、令和5年3月10日に医療法施行規則の一部を改正する省令が公布され、令和5年4月1日に施行されています。医療法に基づく立入検査でも、サイバーセキュリティ対策が確認項目として位置付けられています。
また、医療機関は医療情報システムの安全管理に関するガイドラインや、医療機関におけるサイバーセキュリティ対策チェックリストを参照し、優先的に必要な対策を進めることが求められます。
なぜ病院がサイバー攻撃されるのですか?
病院が狙われる主な理由は、医療情報の価値が高いこと、診療を止められないため攻撃者が圧力をかけやすいこと、外部業者や医療機器との接続が多いことです。
患者の診療情報や保険情報は、ダークウェブ上で悪用価値が高い情報です。また、病院は電子カルテや検査システムが止まると診療に支障が出るため、攻撃者から見ると身代金要求の圧力をかけやすい標的になります。
さらに、医療機器保守用VPN、電子カルテベンダー、検査会社、給食業者など、多くの外部接続があるため、侵入口が多くなりがちです。
病院がサイバー攻撃を受けたらどうすればいいですか?
まず、被害が疑われる端末やシステムをネットワークから隔離し、証拠を保全してください。そのうえで、院内責任者、システムベンダー、警察、厚生労働省、個人情報保護委員会、専門業者へ速やかに連絡します。
初動の流れは、次の3段階で考えると分かりやすいです。
- 被害拡大防止:該当端末・サーバー・ネットワークの隔離、アカウント停止
- 報告・相談:院内責任者、経営層、警察、厚生労働省、個人情報保護委員会、JPCERT/CC等への連絡
- 調査・復旧:フォレンジック調査、影響範囲確認、バックアップからの復旧、患者・関係者への説明
重要なのは、むやみに初期化しないことです。ログや端末を消してしまうと、侵入経路や情報流出の有無を調査できなくなることがあります。
なぜ病院内はスマホが禁止されているのですか?
病院内でスマホ利用が制限される理由は、医療機器への電波干渉リスク、通話による迷惑、患者のプライバシー保護、情報漏えい防止などです。
サイバーセキュリティの観点でも注意が必要です。私物スマホを院内Wi-Fiに接続したり、不正アプリが入った端末を業務ネットワークに近い場所で使ったりすると、リスクが高まります。
また、患者情報や画面を撮影して外部に送ると、個人情報漏えいにつながります。近年は病院ごとにスマホ利用ルールが緩和されている場合もありますが、撮影禁止、利用エリア、院内Wi-Fiの接続ルール、業務端末との接続ルールは必ず守る必要があります。
サイバー攻撃で最も多い手口は何ですか?
病院への影響が大きい手口としては、ランサムウェアが特に深刻です。感染経路としては、VPN機器やリモートデスクトップなどの外部接続経路が大きな割合を占めています。
警察庁の令和7年上半期資料では、ランサムウェアの感染経路としてVPN機器経由が約62%、リモートデスクトップ経由が約22%とされています。両者を合わせると8割を超えるため、病院ではVPN・RDP・遠隔保守経路の棚卸しと保護が最優先です。
メールからの感染や標的型攻撃もありますが、医療機関では外部業者や医療機器保守用の接続が多いため、リモートアクセス経路の管理が特に重要です。
病院のサイバー攻撃対策は義務化されていますか?
義務化されています。2023年4月1日施行の医療法施行規則改正により、医療機関の管理者はサイバーセキュリティ確保のために必要な措置を講じることが求められています。
厚生労働省は、医療情報システムの安全管理に関するガイドライン第6.0版、医療機関におけるサイバーセキュリティ対策チェックリスト、チェックリストマニュアル、BCP策定の確認表などを公表しています。
特に、チェックリストは医療法に基づく立入検査時に確認される項目です。形式的にチェックするだけでなく、実際に機能する対策として運用することが重要です。
サイバー保険は加入すべきですか?
サイバー保険への加入は検討する価値があります。ただし、保険だけでは根本的な対策にはなりません。
サイバー保険は、調査費用、復旧費用、損害賠償、問い合わせ対応、弁護士費用、広報対応などをカバーできる場合があります。一方で、保険は攻撃そのものを防いでくれるわけではありません。
保険に加入していても、電子カルテが止まれば診療への影響は避けられません。患者情報が流出すれば、信頼回復には時間がかかります。
そのため、サイバー保険は「最後の備え」として有効ですが、脆弱性診断、VPN管理、バックアップ、BCP策定、職員教育、インシデント対応体制の整備とセットで考えるべきです。
まとめ|病院のサイバー攻撃対策は、チェックリスト対応だけでなく実効性の確認が重要
病院へのサイバー攻撃は、すでに国内で繰り返し発生しています。
半田病院、大阪急性期・総合医療センター、国分生協病院、岡山県精神科医療センター、宇都宮セントラルクリニック、日本医科大学武蔵小杉病院など、規模や地域を問わず被害が発生しています。
病院が狙われる理由は明確です。患者情報・医療情報の価値が高く、診療を止められないため復旧圧力が強く、外部業者や医療機器との接続が多く、古いシステムやVPN機器が残りやすいからです。
まず取り組むべき対策は、次の5つです。
- VPN・ルーター・ファイアウォールなどネットワーク機器を最新状態にする
- バックアップをネットワークから切り離した場所にも保管する
- VPNや管理者アカウントに多要素認証を導入する
- 職員向けのセキュリティ研修と標的型メール訓練を行う
- サイバー攻撃を想定したBCPと初動対応ルールを整備する
ただし、これらを実施しても、自院が認識していないVPN、委託先の接続、古い医療機器、放置アカウント、漏えい済み認証情報が残っていれば、攻撃者に狙われる可能性があります。
だからこそ、病院のサイバー攻撃対策では、チェックリスト対応に加えて、攻撃者視点での診断が必要です。
CyberCrewでは、ホワイトハッカーの視点から、医療機関の外部公開資産、VPN、脆弱性、漏えい認証情報、委託先接続リスクを確認し、現実的な優先順位で対策を整理します。
「何から始めればよいか分からない」段階でも問題ありません。まずは、自院が攻撃者からどう見えているかを知ることから始めてください。
投稿者プロフィール
-
Head of Business / Evangelist
CyberCrewの事業責任者として、企業の情報セキュリティ対策を総合的に支援。脆弱性診断やペネトレーションテスト、インシデント対応、セキュリティ教育まで幅広い領域を統括し、企業ごとの課題やリスクに応じた最適な支援体制の構築を推進しています。ホワイトハッカーの知見と事業視点をつなぎ、現場で機能する実践的なセキュリティ対策の提供を通じて、企業の安全なIT環境づくりを支えています。
