病院を狙うランサムウェア被害をニュースで見聞きするたびに、「うちの病院は大丈夫だろうか」と感じた方も多いのではないでしょうか。
実際、つるぎ町立半田病院の事例では、電子カルテを含む院内システムが止まり、再構築とデータ復旧に約2か月、復旧関連の費用は約7,000万円強と整理されています。被害は“データ流出のトラブル”だけではなく、診療現場そのものを長期間揺さぶる問題になりえます。
また、大阪急性期・総合医療センターでは、委託先の接続経路を起点とする被害が公表されました。自院のネットワークをどれだけ固めていても、給食や清掃、医療機器など外部委託の経路が入口になり得る――この点は、医療機関にとって特に見落としやすい落とし穴です。
そして、もう一つ押さえておきたいのが制度面です。
2023年(令和5年)4月1日施行の医療法施行規則改正により、「サイバーセキュリティの確保」は医療機関の管理者が守るべき事項として位置づけられました。つまり、対策は“できたらやる”ではなく、実効性が求められると言えます。
この記事で分かること
- 病院がランサムウェアに狙われやすい理由(構造的に起きること)
- 【2021〜2025中心】被害事例7選(原因・復旧期間・被害の特徴)
- 被害を受けた場合に何が起きるか(診療・費用・法的リスク)
- 厚労省ガイドライン/義務化の要点と、現場で優先すべき対策
- 感染時の初動対応(最初の数時間でやること/やってはいけないこと)
なお、ランサムウェア攻撃へは事前対策が重要となっており、脆弱性診断やペネトレーションテストが有効です。CyberCrewでは、複数名のホワイトハッカーが在籍し、攻撃者が実際に狙うポイントから現場感のあるテストでリスクを評価します。まずは無料でご相談ください。
TABLE OF CONTENTS
病院がランサムウェアに狙われる5つの理由
病院は一般企業に比べて、攻撃者から「業務を止めることの影響が大きい」「交渉が進みやすい」と見られやすく、結果としてランサムウェアの標的になりがちです。
背景には、医療情報という高価値データ、24時間稼働が前提の業務、更新しづらいレガシー機器、限られた人員での運用といった医療特有の事情があります。
ここでは、病院がランサムウェアに狙われる主な理由を5つに整理して解説します。
1. 患者の個人情報・医療情報の価値が高い
医療情報は、氏名や住所・連絡先といった基本情報に加えて、保険情報、受診履歴、検査結果など「本人であることを裏づける重要な材料」がそろいやすいのが特徴です。
こうした情報は、アカウント乗っ取りの本人確認突破や、なりすまし、詐欺、恐喝などに悪用される可能性があり、漏えいした場合の二次被害も長期化しがちです。
そのため医療分野は、各種の脅威レポートでも継続的に“狙われやすい業種”として取り上げられています。
2. 人命に関わるため身代金を払いやすいと見なされる
病院は24時間稼働が当たり前で、電子カルテやオーダリング、検査部門のシステムが止まると、すぐに診療制限や受け入れ停止といった判断を迫られます。
一般企業のように「週末に止めて復旧する」という発想が取りにくく、現場は一分一秒でも早く通常運用へ戻さなければならない状況になります。
攻撃者はそこを理解しており、「業務を止められない=交渉が進みやすい」「支払いを検討せざるを得ない」と見込んで圧力を強めます。
こうした構造が、医療分野がランサムウェアの主要標的として挙げられる背景の一つです。
3. セキュリティ対策が一般企業より遅れている
中小規模病院では、情報システム担当者が1人、あるいは兼務を含む少人数体制で回しているケースが多く、現場の優先順位はどうしても「今日の診療を止めないこと」になりがちです。
端末の追加設定、プリンタ不調、電子カルテベンダーとの調整、ネットワーク障害の一次対応――こうした“すぐ直さないと困る仕事”だけで一日が埋まります。
その結果、脆弱性管理やログ監視、職員向けの教育訓練といった「本当は必要だが後回しにされやすいセキュリティ対策作業」が放置されやすくなります。
更新が遅れる、権限設計が古いまま残る、監視が薄い、といった状態が続くほど、攻撃者にとっては入りやすい環境になってしまいます。
4. 古いシステム・機器を使い続けている
電子カルテや医療機器は、一般の業務システムと違って、入れ替えることが簡単ではありません。更改には多額の費用と長い準備期間が必要で、更新サイクルも5〜10年単位になりやすいのが実情です。
一方で、OSやミドルウェアにはサポート期限があり、期限が先に来てしまうと“本当は上げたい”のに、医療機器との互換性やメーカー認証、連携試験の都合で上げられない状況が発生します。
結果として、古いOSや古いコンポーネントが院内に残り続け、攻撃者から見ると「脆弱性が残りやすい」と考えられてしまいます。
こうした構造的なギャップこそ、医療分野が狙われやすい理由の一つです。
5. 「閉域網だから安全」という誤解が広まっている
「院内LANは閉域網なので安全です」と説明されることがありますが、実態とズレているケースは少なくありません。
たとえば、院外から電子カルテベンダーが保守作業を行うためにVPNが用意されていたり、委託先が遠隔で機器の監視・点検をする経路が存在したりします。
こうなると、院内ネットワーク自体は“閉じているつもり”でも、外部とつながる入口が必ずどこかに生まれます。
問題は、この入口が見えづらいまま「閉域だから大丈夫」という安心感だけが残ることです。その結果、VPN機器や境界機器の更新が後回しになったり、MFAやパスワード強化が十分に進まなかったりして、攻撃者にとって入りやすい状態が放置されてしまいます。
【2021年〜2025年】病院のランサムウェア被害事例7選
2021年以降、病院を狙ったランサムウェア被害は継続的に発生しています。
同じような入口(VPNや委託先の接続、更新遅れ、弱い認証)から侵入されるケースが目立ち、「うちも条件が当てはまるかもしれない」と感じる要素が多いのが特徴です。
ここでは、原因と結果が整理されている病院のランサムウェア被害事例を7つ紹介します。
【事例1】徳島県つるぎ町立半田病院(2021年10月)
徳島県のつるぎ町立半田病院にて、ランサムウェア感染により電子カルテや会計などが使用不能となり、診療に影響が出ました。(参照:つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書について」)
半田病院の事例は、「病院が止まる」という言葉が比喩ではないことを示しました。
2021年10月31日未明、院内プリンタから犯行声明が印字されたことを契機に、ランサムウェア「LockBit2.0」感染が判明しました。電子カルテを含む院内システムが暗号化され、診療は紙運用に切り替えられるなど大きな制限を受けました。
侵入経路はVPN装置の既知の脆弱性悪用が有力と考えられています。復旧には約2か月を要し、費用は調査・外注・人件費等を含め約7,000万円規模に上りました。
この事例は、閉域網でも安全とは限らず、境界機器の管理と体制整備が重要であることを示しています。
【事例2】大阪急性期・総合医療センター(2022年10月)
大阪急性期・総合医療センターは2022年10月、電子カルテなどの重要システムがランサムウェア義骸により影響を受け、結果として長期間の復旧対応が必要になりました。(参照:大阪急性期・総合医療センター「インシデント調査報告書について」)
この事例は、「自院の対策」だけでは守り切れない現実を突きつけました。
原因は委託事業者のVPN経由とされるサプライチェーン型侵入で、院外の接続経路が実質的に院内ネットワークの弱点となった構図です。復旧は段階的に進められ、紙運用や制限診療が長期化。遠隔保守は技術対策だけでなく、MFAやログ管理、契約・運用面まで含めた統制が不可欠であることを示しました。
院内のシステムが止まると、診療の優先順位そのものを組み替えざるを得ません。とくに医療機関は連携先や委託先が多く、便利さのために用意した接続経路が、結果として“狙われやすい入口”になることがあります。
【事例3】岡山県精神科医療センター(2024年5月)
岡山県精神科医療センターにおいて、2024年5月にランサムウェア被害が発生し、電子カルテなど院内システムが停止する事態となりました。(参照:岡山県精神科医療センター「ランサムウェア事案調査報告書について」)
岡山県精神科医療センターの事例は、「止まる」だけでは終わらないランサムウェアの典型です。
原因として、保守用 VPN 装置の脆弱性の放置、推測可能な ID/パスワードの使用が突破口になった可能性が指摘されています。
復旧は段階的に進められ、90日以上を要しました。本件は、部分的なセキュリティの穴が院内全体の停止につながり得ることを示しています。
【事例4】奈良県宇陀市立病院(2018年10月)
奈良県宇陀市立病院において、2018年10月に院内システムの一部が障害を受け、電子カルテが参照不能となる事案が発生しました。(参照:宇陀市立病院コンピューターウイルス感染事案に関する「報告書」)
宇陀市立病院の事例は、「外からの高度な侵入」だけが病院の脅威ではない、ということを分かりやすく示しています。
感染経路の断定は慎重であるべきですが、原因としては職員または委託業者の私物PC接続が関係した可能性(疑い)が示されています。つまり、院内ネットワークの外側にある端末が、運用の隙を通って“院内の一部”として扱われてしまった構図です。
復旧には約半年を要したとされ、影響が短期で終わらない点も見逃せません。
【事例5】鹿児島県 国分生協病院(2024年2月)
鹿児島県の国分生協病院において、2024年2月にランサムウェア攻撃によりサーバ内データが暗号化され、診療記録への影響や個人情報漏えいの可能性が公表されました。(参照:国分生協病院「画像管理サーバー」の障害発生について)
国分生協病院の事例は、「主要システムだけ守れば十分」という考え方が危ういことを示しています。画像や検査、文書管理などの部門系サーバは裏方に見えても診療の土台で、そこが止まると現場は一気に手作業へ戻り、診療の質とスピードに直結します。
原因としては、画像管理サーバーにセキュリティソフトが導入されていなかった点や、推測されやすい(弱い)パスワード運用など、部門単位で“手薄になっていた場所”が入口になり得ることが示唆されています。
ランサムウェア対策は“重要そうなところから”ではなく、抜けを作らない運用設計が必要になります。
【事例6】福島県立医科大学附属病院(2020年12月)
福島県立医科大学附属病院において、2020年12月にサイバー攻撃により院内ネットワークへ不正アクセスが発生し、システムの一部に影響が生じました。(参照:福島県立医科大学附属病院「コンピュータウイルス感染の原因及び対策について」)
この事例では、医療機関のランサムウェア対応は「一度直したら終わり」ではない、という点が確認できます。
原因としては、外部で感染した機器が院内に持ち込まれたことが契機になったと整理されており、持ち込み端末・機器の管理が現場の弱点になりやすい実態があります。
【事例7】QST病院(2024年1月)
QST病院において、2024年1月にランサムウェア攻撃により院内システムが停止し、診療業務に影響が発生しました。(参照:QST病院の独立ネットワークのシステムにおけるランサムウェア被害について)
診療への直接影響がなくても、研究・登録・連携系が止まれば、ランサムウェア被害が大きくなります。
公表情報では、研究関連システムで障害が発生し、症例情報登録システムに関する情報が利用できなくなった(約47.5万件の症例情報が利用不能)旨が示されています。
原因としては、ネットワーク機器のソフトウェアが未更新だった点や、同一パスワードの使い回しといった基本的な管理不備が挙げられており、“高度な攻撃”よりも「更新と認証」の積み残しが入口になり得ることを示しています。
周辺システムまで含めて、資産管理とアクセス制御を同じ基準で揃えることが必要な対策になります。
ランサムウェア被害を受けると病院はどうなる?
病院がランサムウェア被害を受けると、単なる「システムが壊れた話」では済みません。
電子カルテが止まれば診療は制限され、復旧には想像以上の人手と費用がかかります。
ここでは、病院への影響を5つの視点で整理します。
1. 診療業務の停止・制限
電子カルテが使えなくなると、現場は一気に紙カルテへ戻らざるを得ません。
受付から診察、検査、処方まで、普段はシステムでつながっている流れが途切れるため、確認作業や転記が増え、ミスを防ぐためのダブルチェックも必要になります。
結果として待ち時間が延び、対応できる患者数も落ちます。状況によっては救急の受け入れを制限したり、手術や検査を延期したりする判断も迫られます。
半田病院の事例でも、こうした紙運用への切り替えが現実の対応として整理されており、「止まったら何が起きるか」を具体的に想像できるケースです。
2. 莫大な復旧費用と逸失利益
ランサムウェアの怖さは、止まった瞬間よりも「止まってからの出費」が雪だるま式に増えるところです。復旧費用だけでも数千万円規模になり得ます。
半田病院の事例では、復旧関連費用が約7,000万円強と整理され、特にデータ復旧にかかる費用が大きな割合を占めました。システム再構築や調査、外部支援の費用だけでなく、現場対応に伴う残業なども重なります。
さらに状況を厳しくさせるのは、診療制限が続いた場合です。患者受け入れの制限や検査・手術の延期が続けば、逸失利益が発生し、代替手段の確保で外注費や追加人員も必要になります。
サイバー保険に入っていても全額が必ず補償されるとは限らず、結果として経営への圧力は想像以上に大きくなります。
3. 患者情報の流出リスク
近年のランサムウェアは、単にデータを暗号化して止めるだけではありません。「復号してほしければ金を払え」に加えて、「払わなければ盗んだ情報を公開する」と脅す、いわゆる二重脅迫が当たり前になりつつあります。
こうなると、病院側は復旧作業と同時に「何が持ち出されたのか」「どこまで影響が及ぶのか」を短期間で見立てなければならず、対応の重さが一段上がります。
さらに、患者さんや関係機関への説明、問い合わせ対応、再発防止策の公表など、対外対応も避けられません。
国内でも、医療機関が患者情報の漏えいの可能性を公表した例があり、ランサムウェアは“診療を止める脅威”であると同時に、“信頼を揺るがす脅威”でもあることが分かります。
4. 社会的信用への影響
ランサムウェア被害の情報がひとたび報道やSNSで拡散されると、影響は院内にとどまりません。
患者さんは「本当に安全なのか」と不安になり、受診控えや転院につながることもあるでしょう。
採用面でも「働く環境として大丈夫か」という見られ方をされ、応募が減ることがあります。
さらに委託先契約や共同研究などでも、再発防止策や体制の説明を求められ、コストが増えます。
システムが復旧して診療が通常運用に戻ったとしても、信頼を取り戻すにはそれ以上の時間と努力が必要になるのが現実です。ランサムウェア攻撃へは事前の対策が欠かせません。
5. 法的責任・行政指導のリスク
医療法施行規則の改正では、医療機関を狙うサイバー攻撃が増えていること、そして攻撃によって診療停止や個人情報の窃取など深刻な被害が起こり得ることが背景としてはっきり示されています。
つまり「攻撃は起きる前提」で、管理者として備えを求められている、ということです。
機器を入れるかどうか以前に、体制や手順が整っていない病院ほど、ランサムウェア被害を受けたときにシステムを立て直せないことが、影響を大きくします。
誰が指揮を取り、どこへ連絡し、何を優先して判断するのか。復旧の順番や対外説明の流れが決まっていないと、立ち入り検査や説明責任の場面で「結局、何ができていたのか」を問われたときに答えられません。
平時から“体制・計画・運用”を形にしておくことが、結局いちばんの保険になります。
事前の対策と実際に被害の兆候があったときにすぐに相談できるよう、セキュリティ会社にまずは相談して、現状のリスクを把握するのがおすすめです。
【義務化】医療情報システムの安全管理に関するガイドラインとは
厚労省は「医療情報システムの安全管理に関するガイドライン」を公表し、医療情報を扱ううえで必要な体制づくり、技術対策、日々の運用のポイントを整理しています。
2023年には第6.0版が公開され、医療現場で押さえるべき要点がより具体化しました。
さらに医療法施行規則の改正(2023年4月施行)により、サイバーセキュリティ確保の措置は管理者が守るべき事項として位置づけられ、対策は「推奨」ではなく実効性を求められる段階に入っています。
ガイドラインの概要と改定の経緯
このガイドラインは、医療情報を「安全に扱う」とは何を意味するのかを、現場で実行できる言葉に落とし込んだ実務文書です。
ポイントは、情報漏えいを防ぐ“機密性”だけではありません。データが改ざんされない“完全性”、そして診療を止めない“可用性”まで含めて、医療の現場に必要な考え方と運用を整理しています。
医療機関は機器構成も業務フローも複雑で、一般企業のセキュリティ基準をそのまま当てはめても噛み合わないことが多いので、改定を重ねながら現実に合わせてきた背景があります。
最新の第6.0版(2023年5月公開)では、ランサムウェアなどの被害が実際に相次いだ情勢を踏まえ、何を優先して整えるべきかが前提として整理されています。
院内ルールや体制づくりの根拠として使うための指針にしましょう。
ガイドラインで求められる主な対策
病院が“まず形にする”べき項目について、主な5つを挙げます。ポイントは、どれも「一度作って終わり」ではなく、運用として回る形にしておくことです。
- 医療情報を扱う機器・システムの棚卸(何がどこにあるか/誰が管理するか)
電子カルテだけでなく、画像、検査、文書、予約、端末、ネットワーク機器まで含めて「院内に何があるか」を把握します。担当者やベンダー、保守契約も紐づけておくと、更新漏れや放置資産が減ります。 - バックアップの設計と保護(取得だけでなく隔離・復旧訓練まで)
バックアップは“取っている”だけでは意味がありません。暗号化されないよう隔離し、実際に戻せるかを定期的に試すところまで含めて設計します。復旧手順が曖昧だと、いざというとき現場が止まります。 - ネットワーク分離・アクセス制御(診療系/事務系/保守系の境界)
境界が曖昧だと、侵入後に一気に横展開されます。どこまでを診療系として守るのか、保守用の接続をどう絞るのかを、構成と権限で明確にします。 - 不正通信の検知・遮断・監視(ログが残らない構成は事故時に詰む)
何が起きたかを説明できる材料はログしかありません。ログが取れない、見られない構成だと、原因究明も影響範囲の判断もできず、復旧が長引きます。 - インシデント対応計画(初動・連絡網・意思決定・対外説明)
「誰が指揮を取り、何を優先し、どこへ連絡するか」を決めておきます。技術対応だけでなく、患者対応や行政・取引先への説明まで含めて段取りがあると、初動で迷わず動けます。
立ち入り検査とチェックリスト
規則改正では「実効性を高める必要」がはっきり書かれていて、書類を整えて終わりでは済みません。
現場で本当に回っているのか、いざというときに動けるのかも重要です。
チェックリスト対応で詰まりやすいポイントの例として、資産台帳がなく「何がどこにあるか」を即答できない、ベンダーの保守経路がブラックボックスで、誰がどこから入れるのか分からない、バックアップは取っているのに、復旧訓練をしておらず「戻せる保証」がない等が挙げられます。
実効性のある取り組みを担保できるよう、本質的なセキュリティ対策が必要です。
病院が実施すべきランサムウェア対策方法
ここからは、被害事例で繰り返し出てくる“つまずきポイント”と、調査データで傾向が見えている「効く順番の対策」を、4つのカテゴリに分けて整理します。
特に侵入経路は、VPNとRDP経由が約8割といった結果が示される調査もあり(警察庁の資料(令和7年))、まず手を付けるべきは内部対策よりも入口(外部から入られる箇所)の対策です。
ここを固めないまま製品を増やしても、肝心の穴が残ってしまいます。
ネットワーク・機器の対策
全部を一気に片付けようとすると、途中で対策が頓挫しやすくなります。まずは優先度の高いところを確認して、次に対策が徹底できている状態を作るのが現実的です。
- VPN装置/境界機器の棚卸と更新(機種・バージョン・露出範囲・保守状況)
何を使っているか分からない状態が一番危険です。機種とバージョン、外部に公開しているか、保守が生きているかを押さえ、更新の優先順位を付けます。 - VPN/リモート保守の認証強化(多要素認証、強固なパスワード、使い回し禁止)
入口は“突破される前提”で固めます。MFAは必須。保守用アカウントは共有禁止、例外があるなら承認フロー込みで管理します。 - 不要な公開ポートの閉鎖/管理画面の公開停止/アクセス元制限
「開いているだけ」で狙われます。使っていないものは閉じ、必要なものも接続元を絞ります。管理画面は原則インターネットに出さないのが安全です。 - RDPの原則禁止(やむを得ない場合は踏み台+MFA+監視+制限)
RDPは入口になりやすいので、基本的には使わないのが安全です。どうしても必要なら、踏み台を挟み、MFAと監視、時間帯や接続元の制限までセットで運用します。 - ログの集中管理(「侵入の兆候」を後から追えるようにする)
何が起きたかを説明できる材料はログです。ログが散っていたり残っていないと、侵入経路も被害範囲も追えず、復旧が長引きます。まずは“集めて見られる”状態にします。
バックアップの対策
「バックアップがある=復旧できる」と思いがちですが、実際はそこが落とし穴になります。攻撃者は本番システムだけでなく、復旧の生命線であるバックアップまで狙ってきます。だからこそ、バックアップは“取得”よりも“守り方と戻し方”が重要です。
- 3-2-1の考え方で複数世代を保持(媒体と保存先を分ける)
ひとつが壊れても残る設計にします。世代管理がないと、暗号化された状態で上書きされて全滅することがあります。 - オフライン/隔離(イミュータブル等)を必ず入れる
ネットワークにつながったままのバックアップは、結局一緒にやられます。物理的に切り離すか、改ざん・削除ができない仕組みを組み込みます。 - 復旧手順の定期テスト(“戻せる”を証拠化する)
取得していても、戻したことがなければ当日動きません。復旧に何時間かかるのか、どこで詰まるのかをテストして記録しておくことが、いざというときの意思決定を助けます。 - バックアップ運用を委託任せにしない(責任分界と手順の確認)
「誰が、どこまで、何を保証するのか」を明確にします。委託先の作業がブラックボックスだと、障害時に判断が遅れます。手順書と連絡体制まで含めて確認しておくべきです。
組織・運用の対策
医療の現場は、結局“人と運用”で止まります。どれだけ機器やツールを入れても、ルールが曖昧だったり、報告が遅れたり、意思決定が止まった瞬間に被害は広がります。だからこそ、最小の工数で効くところから固めるのが現実的です。
- セキュリティポリシー/例外手順(持込端末、USB、院内接続のルール)
「原則禁止」だけでは回りません。例外が出る前提で、承認者・接続方法・ログの残し方まで決めておくと、現場判断の穴が減ります。 - 職員向け教育(短時間・高頻度):不審メール、パスワード、報告手順
年1回の長い研修より、5〜10分で終わる内容をこまめに回す方が効果的です。特に「迷ったら誰に報告するか」を徹底することが重要です。 - インシデント対応マニュアル:初動5ステップ、連絡網、意思決定者
初動は迷う時間がもったいないと言えます。ネットワーク遮断、電源を切らない、証拠確保、通報、専門家連絡までを、1枚で見える形にしておくと動けます。 - 訓練(机上):電子カルテ停止を想定した“紙運用への切替”も含める
訓練はセキュリティ部門だけのものではありません。診療現場が「どう回すか」を確認しておくと、実際の混乱が大きく減ります。紙カルテへの切替手順、役割分担、優先診療の基準まで合わせて確認しておくのがポイントです。
ベンダー・委託先の管理
委託先経由のランサムウェア攻撃は「理屈としてあり得る」ではなく、現実に起きるものです。ここで大事なのは、最新の製品を入れることよりも、むしろ契約と運用で“入れる条件”を縛れるかどうかです。入口が委託先にある以上、病院側が見えないところで穴が開く構造になりやすいからです。
- 保守用VPN/リモート接続の方式・認証・端末管理(誰が、どこから、何で入るか)
方式が分からない、端末が特定できない状態は危険です。接続元・端末・時間帯・操作範囲を決め、MFAの有無も含めて明文化します。 - アカウント棚卸(共有IDの廃止、退職者停止、権限最小化)
保守用の共有IDは最優先で見直します。担当交代や退職で“生きたアカウント”が残ると、そこが狙われます。権限は必要最小限に絞ります。 - インシデント時の責任分界(一次対応、報告期限、証拠保全、費用負担)
事故が起きた瞬間に揉めるのは、責任が曖昧なときです。誰が最初に切り分けるのか、いつまでに報告するのか、ログや証拠をどう保全するのか、費用は誰が持つのかを決めておくと判断が早くなります。 - 委託先のセキュリティ要求を契約に落とす(MFA、パッチ運用、端末管理、ログ)
「やってください」では続きません。MFA必須、パッチ適用の期限、端末の管理方法、ログの提出・保管など、守るべき条件を契約条項にして初めて運用が回ります。
万が一ランサムウェアに感染したときの初動対応
被害発生直後の数時間は、診療への影響がどこまで広がるか、復旧がどれだけ難しくなるかを左右する“分かれ道”です。
しかも現場は混乱しやすく、普段できる判断も鈍ります。
「順番を固定」して、迷わず動ける形にしておくと、被害拡大を止めやすくなります。
初動から間違った行動をとると事態を深刻化させてしまいます。不安が残るなら、セキュリティ会社の緊急相談窓口ですぐに連絡するのがおすすめです。
1. ネットワークの遮断(最優先)
感染が疑われる端末は、まず横展開を止めるのが最優先です。
LANケーブルを抜く、Wi-Fiを切る、可能ならスイッチポートを落とす――まずは「広げない」ことに集中します。
一方で、サーバ室や中核スイッチを“全部落とす”のは、診療への影響が極端に大きく、あとから戻すのも大変になりがちです。
ここは現場判断で突っ走らず、対策本部(意思決定者)やセキュリティ会社をはじめとする専門家に状況を上げながら同時進行で進めるのが安全です。
止める範囲を見誤ると、被害の封じ込めと診療継続の両方を失う可能性があります。
2. 電源は切らない(証拠保全のため)
安易に再起動したり、シャットダウンしたりするのは危険です。
ランサムウェアの調査では、いつ・どこから・何が実行されたのかを追うために、メモリ上の情報や一時ファイル、実行痕跡、イベントログなどが手がかりになります。
電源を落とすと、それらが消えたり上書きされたりして、原因究明や被害範囲の特定が一気に難しくなることがあります。
まずはネットワークから隔離して拡大を止め、端末やサーバの状態をできるだけ保持したまま、専門家の指示を受けられる状態にしておくのが基本です。
3. 関係者への報告・通報
まず院内では、情報システム責任者と経営層に即時に状況を伝え、判断の場として対策本部を立てます。
現場が個別に動き始めると、遮断の範囲や診療制限の判断、外部への説明がバラバラになり、あとで収拾がつかなくなるからです。
次に、外部への連絡も同時並行で考えます。警察の相談窓口(サイバー犯罪相談)や関係機関への連絡、必要に応じた届出は早いほど選択肢が増えます。ただし、対外説明は「分かったこと」「まだ分からないこと」を整理し、院内で整合を取ってから動くのが基本です。
情報が錯綜したまま発信すると、信頼回復がさらに難しくなります。
4. 専門家への相談
自力で復旧しようとすると、かえって被害が広がることがあります。再感染してしまう、重要な証拠を消してしまう、復旧点(戻すべき時点)を間違えて“汚染された状態”を戻してしまう――この3つは現場で本当に起きやすい落とし穴です。
だからこそ、緊急対策/フォレンジックの支援は早めに入れるのが安全です。
セキュリティ会社をはじめとする専門家に入ってもらい、「侵入点はどこか」「感染範囲はどこまでか」「どの手順で復旧するのが最短か」を切り分けることで、診療への影響を最小化し、後から説明できる形も残せます。
5. 身代金は払わない
身代金の支払いは、原則として推奨されません。理由は単純で、「払えば戻る」という保証がないからです。
復号キーが届かない、届いても一部しか戻らない、戻したデータに別のマルウェアが残っていて再感染する――現場ではこうしたケースが珍しくありません。
さらに、支払った事実そのものが「この組織は払う」と認識され、再攻撃や追加の脅迫につながるリスクもあります。
加えて言えば、犯罪者集団への資金供与になり、次の被害を助長してしまう構造も残ります。
まずは隔離・証拠保全・関係機関への相談・専門家の支援を優先して、復旧の現実的な選択肢を冷静に見極めることが重要です。
ランサムウェア対策ならCyberCrewの脆弱性診断・ペネトレーションテスト
ここまで見てきた通り、病院のランサムウェア被害は「侵入点(特にVPNや保守経路)」「認証」「運用(バックアップと訓練)」の組み合わせで起きます。
侵入点の現実は統計でも示されており、VPN・RDPが主要経路です。つまり、侵入される前に“入れる穴”を潰すことが、最も費用対効果が高い対策になります。
なぜ脆弱性診断・ペネトレーションテストがランサムウェア対策になるのか
被害事例を見ていると、結局いつも同じところが狙われています。
VPN機器、委託先のリモート接続、保守用アカウント――外部から院内へ到達できる経路です。
ここが突破されると、あとは院内で横に広がり、電子カルテや共有サーバまで一気に影響が及びます。
だから、対策のスタート地点は「中に入られない状態を作る」ことです。脆弱性診断やペネトレーションテストで、攻撃者が現実に使う入口を実際に洗い出し、危険度の高いものから順番に塞いでいく。
これをやるだけで、ランサムウェアの“侵入前段”をかなりの確率で潰せます。
さらに、こうした取り組みは「やってます」と言える根拠にもなります。ガイドラインや義務化の文脈で問われるのは、形式だけではなく実効性です。
どこが入口になり得るかを把握し、優先順位を付けて改善した――その記録が残るだけでも、立ち入り検査や説明責任の局面で強い材料になります。
CyberCrewの脆弱性診断・ペネトレーションテストの特徴
CyberCrewは、ホワイトハッカーの視点で「攻撃者ならどこを見るか」を起点に、病院で実際に問題になりやすい入口(VPN/リモート保守/委託先接続)を優先して検証します。
机上のチェックではなく、侵入→横展開→重要資産到達まで“現実に起きる流れ”でリスクを見極め、対策を前に進めるための材料を揃えます。
- 攻撃者視点で“悪用可能か”まで確認
脆弱性の有無ではなく、「本当に突破できるのか」「どこまで広がるのか」を検証します。診療継続に直結する資産(電子カルテ周辺、認証基盤、共有サーバ)への到達可能性まで見て、インパクトで判断します。 - “検出して終わり”にしない:直す順番が伝わるレポート
現場が困るのは、指摘が多いことより「何から直すか分からない」ことです。CyberCrewは、攻撃シナリオと影響度で優先度を切り、いま止めるべき入口から順番に、手戻りが少ない改善手順へ落とし込みます。 - 病院特有の論点を、運用・責任分界まで含めて支援
VPNや保守用アカウントは、技術だけでは解決しません。誰が・どこから・何で入るのか、MFAや端末管理、ログ、緊急停止、委託先との責任分界まで含めて“回る運用”に整えます。 - ガイドライン/説明責任を意識したアウトプット
経営層・監査・立ち入り検査で説明できる形に整えるのも、実務では重要です。ガイドラインの観点(体制・技術・運用)に照らして、現状と改善の根拠を示し、院内説明に使える形でまとめます。 - 医療機関での支援経験を踏まえた進め方
守秘義務のため具体名や詳細は控えますが、医療機関での診断・支援経験を踏まえ、診療影響を最小化する段取りや、現場の制約(更改タイミング、保守経路、運用負荷)を前提に現実的な落とし所を提案します。
料金プラン・費用感
費用は一律ではなく、対象範囲(外部公開資産、VPN/境界機器、院内ネットワーク、重要サーバなど)、実施期間、そしてテストの深度で変わります。
だからCyberCrewでは、いきなり「全部やりましょう」とは言いません。まずは接続経路の実態、資産の棚卸状況、運用上の前提(保守経路や権限の持ち方)を短時間で整理し、どこが最も危ない入口になっているかを見立てます。
その上で、限られた予算でも効果が出るように優先順位と実施範囲を一緒に確定し、見積もりに落とします。
実際、ランサムウェア被害は復旧費用だけで数千万円規模になり得ます。そう考えると、「まず何からやるべきか」を壁打ちして、無駄なく刺さる範囲を決めるだけでも、十分に投資対効果のある一手になります。
病院のランサムウェア被害についてよくある質問(FAQ)
よくある質問では、病院でランサムウェア対策を検討する際に、現場と経営の両方からよく出る疑問をまとめて回答します。
被害件数の目安、身代金の考え方、復旧期間、保険の扱い、小規模施設のリスクまで、判断に必要なポイントを整理しました。
Q. 病院のランサムウェア被害件数はどれくらい?
医療・福祉分野でもランサムウェア被害の届出は継続しており、届出件数としては2022年が20件、2023年が10件といった整理が紹介されています。
とはいえ、これはあくまで「表に出た数字」です。
実際には、未公表・未届出のまま処理されているケースもあり得るため、件数は“氷山の一角”として捉えておくのが現実的です。
Q. 身代金は払うべき?
原則として、身代金の支払いは推奨されません。
支払ったとしても復号キーが届く保証はなく、届いても一部しか戻らない、復旧途中で再感染する、といったリスクが残ります。
さらに「この組織は払う」と見なされて再攻撃される可能性や、犯罪者集団への資金供与になる問題も避けられません。
Q. 復旧にはどれくらいの期間がかかる?
軽微な障害であれば、数日〜数週間で業務を戻せる場合もあります。
ただし、システム再構築やデータ復旧が必要になると話は別で、原因調査・感染範囲の特定・復旧点の判断・再発防止まで並行して進むため、復旧は一気に長期化します。
半田病院の事例でも、システム再構築とデータ復旧に約2か月を要したと整理されており、病院の復旧は「想定より長い」が前提だと考えておくのが安全です。
Q. サイバー保険は入るべき?
サイバー保険は検討する価値があります。事故対応の外注費や調査費用など、資金面の不安を和らげられる場面があるためです。
ただし、更新・認証強化・バックアップ・訓練といった基本対策が不十分だと、加入条件や補償条件で不利になったり、免責・対象外になる可能性もあります。
保険は“最後の支え”であって、前提は平時の備えです。保険で埋めるのではなく、備えを整えた上で不足を補う位置づけが現実的です。
Q. 小規模な診療所も狙われる?
小規模な診療所であっても、対象外にはなりません。
規模が小さいほど、更新や権限管理、監視、教育といった運用が手薄になりやすく、攻撃者から見ると“成功確率が高い”標的になってしまうことがあります。
ランサムウェアは大病院だけの問題ではなく、業種や規模を問わず被害が発生していると整理されることもあります。
だからこそ、入口対策とバックアップ、最低限の運用ルールから優先して整えるのが現実的です。
まとめ
病院は、稼働要件の厳しさ(止められない)、医療情報の価値の高さ、レガシー環境が残りやすい構造、人員体制の制約といった事情が重なり、ランサムウェアの主要標的になりやすい業種です。
ひとたび被害に遭うと、診療制限だけでなく、復旧費用が数千万円規模に膨らむ現実があります。半田病院の事例では、復旧関連費用が約7,000万円強と整理されており、「止まった後」の負担の重さがよく分かります。
対策の優先順位は明確で、最優先は「侵入経路の対策」です。統計上もVPNやRDPが主要な侵入経路として挙がりやすく、境界機器の更新、MFAの徹底、保守経路や委託先接続の運用統制が最短距離になります。さらに2023年施行の規則改正により、医療機関のサイバーセキュリティ確保は“形式”ではなく“実効性”が問われる領域になりました。
もし「閉域網と言われてきたが不安」「VPNや委託先接続を把握できていない」「立ち入り検査や説明責任に耐える形で整理したい」と感じているなら、まずは入口(VPN/保守経路/公開資産)を棚卸しし、優先順位を付けるところから始めるのが現実的です。CyberCrewは攻撃者視点で、病院の“止められない事情”を前提に、対策の順番まで含めて整理します。
