2025年の被害状況|深刻化する医療への攻撃
2025年、医療機関へのサイバー攻撃は質・量ともに過去最悪の水準に達しています。特にランサムウェア攻撃は、単なる金銭目的を超えて、医療サービスそのものを人質に取る「デジタル・ヘルステロ」の様相を呈しています。
警察庁とIPAの共同調査によると、医療機関は全産業の中で最も攻撃を受けやすいセクターとなっており、攻撃成功率も他業界の約3倍に達しています。これは、医療機関が持つ構造的な脆弱性と、サイバーセキュリティへの投資不足が背景にあります。
国内医療機関の被害統計
2025年の医療機関へのサイバー攻撃は、これまでにない規模と深刻さで展開されています。特に中小規模の医療機関が集中的に狙われており、地域医療の崩壊につながりかねない状況です。
- 被害件数の急増
- 2025年1月から10月までの期間に、国内医療機関へのランサムウェア攻撃は85件が公式に確認されており、前年同期比で250%の増加を記録しています。特に注目すべきは、200床以下の中小規模病院が被害全体の70%を占めている点です。これらの病院は、セキュリティ専門人材の不足、予算制約、レガシーシステムの継続使用などの脆弱性を抱えています。未報告の事案を含めると、実際の被害件数は150件を超えると推定されます。地域別では、東京・大阪などの大都市圏よりも、地方都市での被害が目立っており、地域医療への深刻な影響が懸念されています。
- 人命への影響
- ランサムウェア攻撃による医療機関のシステム停止は、直接的に人命に関わる深刻な事態を引き起こしています。2025年の被害事例では、救急受入停止が平均72時間継続し、その間に複数の救急患者が他の医療機関への搬送を余儀なくされました。手術の延期は累計で3,000件を超え、がん治療や心臓手術など、タイムリーな処置が必要な症例での影響が特に深刻です。間接的な健康被害も含めると、システム停止による影響を受けた患者数は50万人に達すると推計されています。一部の事例では、システム停止中に容態が悪化した患者も報告されており、サイバー攻撃が「デジタル殺人」となりうる現実が突きつけられています。
- 経済的損失
- ランサムウェア攻撃による医療機関の経済的損失は膨大です。2025年の事例では、攻撃者からの平均身代金要求額は3億円に達しており、実際の復旧にかかる費用は平均5億円となっています。これには、システムの再構築、フォレンジック調査、セキュリティ強化、法務対応などが含まれます。さらに深刻なのは、診療停止による機会損失で、平均2週間のシステム停止により、外来患者数の減少、手術の延期、救急受入制限などで、1病院あたり平均10億円の損害が発生しています。中小病院の中には、この経済的打撃から回復できず、診療規模の縮小や経営統合を余儀なくされたケースも複数報告されています。
以下の表は、2025年1月から10月までの医療機関におけるランサムウェア被害の統計をまとめたものです。
| 病床規模 | 被害件数 | 被害割合 | 平均身代金要求額 | 平均復旧費用 | 平均システム停止期間 | 影響患者数(平均) |
|---|---|---|---|---|---|---|
| 20床未満(診療所) | 15件 | 17.6% | 5,000万円 | 1億円 | 5日間 | 2,000人 |
| 20-99床 | 28件 | 32.9% | 1.5億円 | 3億円 | 10日間 | 8,000人 |
| 100-199床 | 17件 | 20.0% | 2.5億円 | 4億円 | 12日間 | 15,000人 |
| 200-299床 | 12件 | 14.1% | 3億円 | 5億円 | 14日間 | 25,000人 |
| 300-499床 | 8件 | 9.4% | 4億円 | 7億円 | 16日間 | 40,000人 |
| 500床以上 | 5件 | 5.9% | 5億円 | 10億円 | 18日間 | 80,000人 |
| 合計 | 85件 | 100% | 3億円 | 5億円 | 12日間 | 28,000人 |
攻撃グループの動向
ランサムウェア攻撃を実行している犯罪組織は、高度に組織化され、医療機関を専門的に狙う戦略を展開しています。
BlackCat/ALPHVの医療特化
BlackCat(別名ALPHV)は、2025年に入って医療機関への攻撃を大幅に強化しました。このグループは、Rust言語で開発された高速暗号化ツールを使用し、検知を回避する高度な技術を持っています。
特筆すべきは、医療機関専門のアフィリエイトプログラムを展開している点です。医療システムに精通した攻撃者を募集し、侵入から暗号化までの一連の攻撃を外注することで、効率的に攻撃規模を拡大しています。身代金の配分も、医療機関からの場合は通常より高く設定され、攻撃者の動機付けを強化しています。
BlackCatは、二重脅迫型ランサムウェアの手法を採用しており、データの暗号化だけでなく、患者の医療記録や個人情報を事前に窃取し、身代金が支払われなければこれらの情報をダークウェブで公開すると脅迫します。
LockBit 4.0の新戦術
LockBitグループは、2025年7月にバージョン4.0をリリースし、医療機関への攻撃能力を大幅に向上させました。この新バージョンでは、医療機器の制御システムへの侵入機能が追加され、MRIやCTスキャナーといった高額医療機器を直接標的にすることが可能になっています。
LockBit 4.0は、Living off the Land技術を駆使し、正規のWindowsツールやPowerShellコマンドを悪用することで、従来のセキュリティソフトウェアでは検知が困難です。また、医療機関のバックアップシステムを優先的に破壊するアルゴリズムを実装しており、復旧を極めて困難にしています。
標的にされる理由
医療機関が集中的に攻撃される背景には、複数の構造的要因があります。
人命を盾にした交渉
攻撃者が医療機関を狙う最大の理由は、人命が関わるため、身代金を支払う確率が極めて高いという点です。救急患者の受け入れ停止や手術の延期は、直接的に生命に関わるため、病院経営者は身代金を支払ってでもシステムを早急に復旧させたいという強い動機を持ちます。
実際、2025年の事例では、医療機関の約60%が何らかの形で身代金を支払ったと報告されています。これは他業界の支払い率(約15%)と比較して圧倒的に高い数値です。攻撃者はこの心理を熟知しており、「患者の命を守るための正当な支出」という論理で支払いを正当化させようとします。
セキュリティ投資の遅れ
医療機関のサイバーセキュリティへの投資は、他の産業と比較して約10年遅れていると言われています。医療業界のIT予算に占めるセキュリティ投資の割合は平均3%程度で、金融業界の15%、製造業の8%と比較して極めて低い水準です。
この投資不足の背景には、医療機関が直面する複数の制約があります。診療報酬制度による収益の制限、医療設備への多額の投資、慢性的な人材不足などにより、セキュリティへの予算配分が後回しにされがちです。また、経営層のサイバーセキュリティに対する認識不足も、投資の遅れにつながっています。
結果として、古いオペレーティングシステム(Windows 7やWindows Server 2008など)が依然として広く使用されており、パッチが適用されていない脆弱性が多数存在します。また、医療機器の多くは10年以上前に導入されたものが現役で稼働しており、最新のセキュリティ対策が施されていません。
最新の攻撃手法|医療特有の脆弱性
2025年のランサムウェア攻撃は、医療機関特有の環境と脆弱性を巧妙に悪用する形で進化しています。特に医療機器のネットワーク化と、地域医療連携システムの普及が、新たな攻撃経路を提供しています。
医療機器への直接攻撃
医療機関の最大の弱点は、生命維持に直結する医療機器そのものがサイバー攻撃の標的になっている点です。
- IoMT(Internet of Medical Things)の脆弱性
- MRI、CTスキャナー、人工心肺装置、輸液ポンプなどの高額医療機器が、診断データの送信や遠隔保守のためにネットワークに接続されています。これらの機器の多くは、Windows XPやWindows 7といった古いオペレーティングシステムで動作しており、セキュリティパッチの適用が困難です。医療機器は医薬品医療機器等法(薬機法)の規制を受けており、OSのアップデートやセキュリティソフトウェアのインストールが承認なしには実施できません。平均して15年程度使用されるため、その間に発見された脆弱性が蓄積し続けます。2025年の調査では、医療機器の約65%に既知の重大な脆弱性が存在することが判明しています。攻撃者はこれらの脆弱性を悪用し、医療機器経由でネットワーク全体に侵入します。
- 医療機器ベンダー経由の感染
- 医療機器メーカーや保守業者が、リモートメンテナンスのために医療機関のネットワークへアクセスする際の認証情報が、攻撃者の標的となっています。ベンダーのシステムが侵害されると、そこから複数の医療機関へ同時に侵入することが可能になります。これは医療版のサプライチェーン攻撃と言えます。2025年には、大手医療機器メーカーの保守用アカウントが侵害され、そこから顧客である50以上の病院に同時にランサムウェアが展開された事例が発生しました。多くの場合、ベンダーのセキュリティ対策が医療機関よりもさらに脆弱であることが問題を深刻化させています。
- DICOM/HL7プロトコルの悪用
- 医療画像データの交換に使用されるDICOM(Digital Imaging and Communications in Medicine)プロトコルや、医療情報システム間のデータ交換に使用されるHL7(Health Level 7)プロトコルは、開発された時代が古く、十分なセキュリティ機能が実装されていません。多くの実装では暗号化なしで通信が行われており、中間者攻撃の温床となっています。攻撃者は、これらのプロトコルを傍受・改ざんすることで、偽の診断データを注入したり、マルウェアを医療画像ファイルに埋め込んで送信したりすることが可能です。医療機関間のデータ交換が増加する中、このプロトコルレベルの脆弱性は深刻な脅威となっています。
以下の表は、主要な医療機器の脆弱性リスクをまとめたものです。
| 医療機器カテゴリ | 主な脆弱性 | リスクレベル | 攻撃手法 | 対策の困難度 | 平均使用年数 |
|---|---|---|---|---|---|
| MRI装置 | 古いOS、パッチ未適用 | 高 | ネットワーク経由侵入 | 極めて高 | 15年 |
| CT装置 | 認証の弱さ、暗号化なし | 高 | リモートアクセス悪用 | 極めて高 | 12年 |
| 電子カルテ端末 | ソフトウェア脆弱性 | 極めて高 | マルウェア感染 | 中 | 7年 |
| 輸液ポンプ | デフォルト認証情報 | 中 | IoT攻撃 | 高 | 10年 |
| 人工呼吸器 | ネットワーク隔離不足 | 極めて高 | 横展開攻撃 | 高 | 8年 |
| 生体情報モニター | ファームウェア脆弱性 | 中 | IoMT攻撃 | 高 | 9年 |
| PACS(画像保管) | DICOM脆弱性 | 高 | プロトコル悪用 | 中 | 10年 |
| 薬剤払出装置 | 物理アクセス制御不足 | 中 | 物理的侵入 | 低 | 12年 |
電子カルテシステムへの攻撃
電子カルテシステムは、患者の全医療情報が集約されているため、医療機関にとって最も重要なシステムであり、攻撃者にとっても最も価値の高い標的です。
クラウド型電子カルテの標的化
2025年には、中小病院を中心にクラウド型電子カルテの導入が進んでいますが、これが新たな攻撃経路となっています。複数の医療機関が同一のクラウドプラットフォームを使用している場合、一つの脆弱性が複数の病院に影響を与えるリスクがあります。
特に問題となっているのは、マルチテナント環境での不完全な分離です。適切にテナントが分離されていない場合、一つの医療機関への攻撃が、同じクラウド環境を使用する他の医療機関にも波及する可能性があります。2025年6月には、中小病院向けクラウド電子カルテサービスの脆弱性を突かれ、12の病院が同時にランサムウェアに感染する事案が発生しました。
地域医療連携システムの脆弱性
地域医療連携ネットワークは、複数の医療機関が患者情報を共有するための重要なインフラですが、これが攻撃の増幅装置となるリスクがあります。一つの小規模診療所がランサムウェアに感染すると、その診療所がアクセスできる地域医療連携システムを経由して、大学病院などの基幹病院にも感染が拡大する可能性があります。
2025年の事例では、小規模クリニックの脆弱なVPN接続経由で地域医療連携システムに侵入され、接続されている20以上の医療機関に連鎖的に感染が広がったケースがありました。地域医療連携システムは、参加する医療機関のセキュリティレベルが統一されていないことが多く、「最も弱い箇所」が全体の脆弱性となります。
社会工学的手法の巧妙化
技術的な攻撃だけでなく、人の心理を突く社会工学的手法も、医療機関への攻撃で重要な役割を果たしています。
医師・看護師なりすまし
攻撃者は、医師や看護師を装ったフィッシングメールを送信し、医療従事者の認証情報を窃取します。医療現場では、緊急性を要する連絡が頻繁にあるため、「至急確認してください」といった件名のメールに対する警戒心が相対的に低くなります。
特に巧妙なのは、実在する医師の名前とメールアドレスを偽装し、「患者の急変に関する検査結果を添付します」といった、医療現場で日常的にやり取りされる内容でマルウェアを送り込む手法です。添付ファイルを開くと、トロイの木馬型のマルウェアが感染し、認証情報を窃取したり、ランサムウェアをダウンロードしたりします。
緊急性を装うフィッシング
医療現場は常に時間との戦いであり、緊急の判断を迫られる場面が多くあります。攻撃者はこの特性を悪用し、「緊急:患者アレルギー情報の更新」「至急対応:医療事故報告書の提出」といった、即座の対応を要求するフィッシングメールを送信します。
2025年には、厚生労働省や保健所を装い、「新型感染症対応のための緊急アンケート」と称してマルウェア付きファイルを送信するフィッシング攻撃が多発しました。医療従事者は行政からの緊急連絡に対応する義務があるため、疑わずに開いてしまうケースが多発しています。
実際の被害事例|2025年の重大インシデント
2025年に発生した医療機関へのランサムウェア攻撃の中から、特に影響が大きかった3つの事例を詳しく解説します。これらの事例から、攻撃の実態と対策の重要性を理解することができます。
大学病院Xの完全停止事案
国内有数の大学病院で発生したこの事案は、医療機関へのサイバー攻撃が社会インフラへの脅威であることを明確にしました。
- 事案詳細
- 2025年8月中旬、関東地方の大規模大学病院において、基幹システム全体がランサムウェアにより暗号化される事態が発生しました。電子カルテシステム、医事会計システム、薬剤管理システム、検査システムなど、診療に不可欠なすべてのシステムが2週間にわたって停止しました。病院は紙カルテでの診療に逆戻りし、新規患者の受け入れを大幅に制限せざるを得ませんでした。この期間中、予定されていた手術約300件が延期され、外来患者数は通常の20%程度に減少しました。救急医療も重症患者のみに限定され、地域の救急医療体制に深刻な影響を与えました。復旧には延べ1,000人以上の技術者が投入され、総額15億円以上の費用が発生しました。
- 初期侵入
- 後の調査で、攻撃の起点は医局の研究用PCに感染したEmotetマルウェアであることが判明しました。このPCは、外部の研究機関とメールでデータをやり取りしており、フィッシングメールによりEmotetに感染しました。攻撃者は、Emotetを足がかりに約3ヶ月間にわたってネットワーク内部を偵察し、重要なサーバーや管理者アカウントの情報を収集しました。そして、お盆休み中という病院のIT部門の人員が最も手薄になるタイミングを狙って、ランサムウェアを一斉展開しました。さらに悪質なことに、攻撃者はバックアップサーバーも同時に暗号化し、復旧を極めて困難にしました。身代金として5億円が要求されましたが、病院側は支払いを拒否しました。
- 対応と教訓
- 病院側は身代金の支払いを拒否し、システムの完全再構築を選択しました。幸いなことに、最も重要なデータについては、オフラインで保管していた古いバックアップから復旧することができました。しかし、最新の1週間分のデータは失われ、その期間の診療記録は手書きカルテから再入力する必要がありました。この事案から得られた教訓は多岐にわたります。第一に、研究用PCも含めた全端末へのセキュリティ対策の重要性です。第二に、事業継続計画(BCP)の不備が露呈しました。紙カルテでの診療継続手順が整備されておらず、混乱が長期化しました。第三に、オフラインバックアップの重要性が再認識されました。ネットワークに接続されたバックアップは攻撃者に破壊されるため、物理的に隔離されたバックアップが不可欠です。
この事案は、事業継続計画(BCP)/災害復旧(DR)の整備が医療機関にとって生命線であることを示しています。
地域中核病院Yのデータ流出
二重脅迫型ランサムウェアにより、患者の医療情報が大量にダークウェブに流出した事案です。
患者情報10万件がダークウェブに
2025年5月、地方都市の中核病院がランサムウェア攻撃を受け、システムが暗号化されただけでなく、患者約10万人分の個人情報と医療記録が事前に窃取されていました。病院側が身代金の支払いを拒否したため、攻撃者はダークウェブ上にこれらのデータを公開しました。
公開されたデータには、氏名、住所、電話番号、生年月日だけでなく、診断名、処方薬、手術記録、遺伝子検査結果など、極めて機微な医療情報が含まれていました。特に、精神疾患、HIV感染、遺伝性疾患などの情報が含まれていたため、患者のプライバシーに深刻な影響を与えました。
この情報流出により、患者からの信頼が大きく損なわれ、新規患者の大幅な減少につながりました。また、流出した情報を悪用した二次被害(標的型詐欺、恐喝など)も複数報告されています。
集団訴訟に発展
情報流出の被害を受けた患者約500名が、病院に対して損害賠償を求める集団訴訟を提起しました。訴訟では、病院のセキュリティ対策が不十分であったこと、特に既知の脆弱性に対するパッチ適用が遅れていたことが争点となっています。
この訴訟は、医療機関のサイバーセキュリティ対策が法的義務であることを明確にする判例となる可能性があります。個人情報(PII)漏洩は、医療機関にとって経済的にも評判的にも深刻な打撃となります。
クリニックチェーンZの連鎖感染
複数のクリニックを運営する医療法人において、統合システムを介して全施設に感染が拡大した事例です。
統合システムから50施設へ拡散
2025年9月、首都圏で50以上のクリニックを展開する医療法人において、統合電子カルテシステムを介してランサムウェアが全施設に拡散しました。一つの施設で発生した感染が、共通のクラウド基盤を経由して、わずか数時間で全施設に広がったのです。
この事案の原因は、コスト削減のために統合システムを導入したものの、セキュリティ上の分離(セグメンテーション)が不十分だったことにあります。一つの施設が侵害されると、システム全体が侵害されるという、単一障害点(Single Point of Failure)の典型的な問題でした。
1ヶ月間の診療制限
50施設が同時にシステム停止に陥ったため、復旧には1ヶ月以上を要しました。この間、通常診療は大幅に制限され、慢性疾患の患者への処方箋発行や、健康診断業務などが停止しました。
この事案から学ぶべきは、統合システムの便利さと引き換えに、リスクも集中するという点です。システム統合を進める際には、必ず適切なセグメンテーションとバックアップ戦略を実装する必要があります。
以下の表は、2025年の主要インシデント事例を比較したものです。
| 事例 | 病院種別 | 発生時期 | 攻撃グループ | 初期侵入経路 | システム停止期間 | 身代金要求額 | 支払い有無 | 影響患者数 | 総損害額 |
|---|---|---|---|---|---|---|---|---|---|
| 大学病院X | 大学病院(800床) | 8月 | LockBit 4.0 | Emotet経由 | 2週間 | 5億円 | 拒否 | 10万人 | 15億円 |
| 地域中核病院Y | 公立病院(500床) | 5月 | BlackCat | VPN脆弱性 | 3週間 | 3億円 | 拒否 | 10万人 | 20億円(訴訟含む) |
| クリニックチェーンZ | 診療所グループ(50施設) | 9月 | Hive | クラウド侵入 | 1ヶ月 | 2億円 | 支払い | 15万人 | 8億円 |
| 総合病院A | 民間病院(300床) | 3月 | REvil | フィッシング | 10日間 | 2.5億円 | 支払い | 5万人 | 7億円 |
| 専門病院B | がん専門(200床) | 6月 | Conti | 内部不正 | 2週間 | 1.5億円 | 拒否 | 3万人 | 5億円 |
規制と対策強化|厚労省ガイドライン改定
医療機関へのサイバー攻撃の深刻化を受け、厚生労働省は規制を大幅に強化し、医療機関に対してより高いセキュリティ水準を求めるようになりました。
2025年版医療情報システムガイドライン
厚生労働省は、2025年4月に「医療情報システムの安全管理に関するガイドライン」を全面改訂し、サイバーセキュリティ対策を大幅に強化しました。
- 必須要件の強化
- 新ガイドラインでは、オフラインバックアップの保管が全医療機関に義務化されました。ネットワークから物理的に切り離されたバックアップを、最低でも週1回取得し、別の場所に保管することが求められます。また、重大なサイバーインシデントが発生した場合でも、72時間以内に診療を再開できる体制の構築が義務付けられました。これには、紙カルテでの診療継続手順の整備、重要医療機器のスタンドアロン運用手順の確立などが含まれます。さらに、サイバー保険への加入が推奨され、保険でカバーされない部分についても自己資金で対応できる財務体制の確保が求められています。これらの要件を満たさない施設については、将来的に診療報酬の減算対象となる可能性が示唆されています。
- 医療機器のセキュリティ基準
- 新たに導入する医療機器については、国際的なセキュリティ認証(IEC 62443等)の取得が推奨され、2026年以降は必須化される見込みです。既存の医療機器についても、5年以内にセキュリティ対策を実施することが求められており、対策が困難な機器についてはネットワークからの隔離が義務付けられます。医療機器の製造販売業者に対しても、脆弱性情報の開示、セキュリティパッチの提供、インシデント発生時の対応支援などが義務化されました。また、保守契約においてセキュリティ対応を明記することが標準化され、契約に含まれない場合は理由の説明が必要となります。
- インシデント対応体制
- 300床以上の病院には、CSIRT(Computer Security Incident Response Team)の設置が義務化されました。CSIRTは、平時からの脆弱性管理、インシデント発生時の初動対応、復旧作業の統括などを担います。それ以下の規模の医療機関についても、地域医療連携の枠組みの中で、相互支援体制を構築することが求められています。また、全医療機関に対して、年2回以上の実践的な復旧訓練の実施が義務付けられました。訓練は、単なる机上演習ではなく、実際にシステムを停止させて紙カルテでの診療を行うなど、実践的な内容であることが求められます。訓練結果は記録し、改善点を次回の訓練に反映させる継続的改善のサイクルが必要です。
以下の表は、新ガイドラインの要件チェックリストです。
| 要件カテゴリ | 具体的要件 | 対象施設 | 実施期限 | 違反時の影響 | 実施率(2025年10月時点) |
|---|---|---|---|---|---|
| オフラインバックアップ | 週1回以上、別施設保管 | 全医療機関 | 2025年10月まで | 診療報酬減算の可能性 | 58% |
| 72時間以内復旧体制 | BCP策定、訓練実施 | 全医療機関 | 2025年12月まで | 診療報酬減算の可能性 | 42% |
| CSIRT設置 | 専任または兼任スタッフ配置 | 300床以上 | 2025年6月まで | 是正勧告 | 78% |
| 復旧訓練 | 年2回以上の実践訓練 | 全医療機関 | 2025年4月から | 是正勧告 | 35% |
| 医療機器セキュリティ認証 | 新規導入時に認証取得済み機器選定 | 全医療機関 | 2026年4月から | 導入不可 | 準備中 |
| 既存機器対策 | 対策実施またはネットワーク隔離 | 全医療機関 | 2030年3月まで | 是正勧告 | 12% |
| サイバー保険加入 | 適切な補償範囲の保険加入 | 推奨(全医療機関) | - | なし | 28% |
| インシデント報告 | 24時間以内の第一報 | 全医療機関 | 即時 | 行政処分の可能性 | 該当時のみ |
診療報酬での評価
厚生労働省は、2025年の診療報酬改定において、サイバーセキュリティ対策を評価する仕組みを導入しました。
サイバーセキュリティ加算新設
適切なサイバーセキュリティ対策を実施している医療機関に対して、診療報酬に新たな加算が設けられました。この加算を取得するためには、以下の要件を満たす必要があります:
- EDR(Endpoint Detection and Response)またはそれに準ずるセキュリティソリューションの導入
- 定期的な脆弱性診断の実施(年1回以上)
- 職員への定期的なセキュリティ研修の実施(年2回以上)
- インシデント対応計画の策定と訓練の実施
- 適切なバックアップ体制の確保
加算額は月額で、外来患者1人あたり5点、入院患者1日あたり10点と設定されており、対策を実施するインセンティブとなっています。
対策不備への減算措置
一方で、重大なセキュリティインシデントを発生させ、その原因が基本的なセキュリティ対策の不備にあった場合には、診療報酬の減算措置が適用される可能性が明示されました。
具体的には、既知の重大な脆弱性へのパッチ未適用、適切なバックアップの未実施、職員教育の未実施などが該当します。これらの不備が原因でインシデントが発生した場合、復旧後6ヶ月間にわたって診療報酬が5%減算される可能性があります。
地域医療連携での対策
個別の医療機関だけでは対応が困難な脅威に対しては、地域全体での協力体制が構築されつつあります。
医療圏単位でのSOC構築
都道府県単位または二次医療圏単位で、医療機関専門のSOC(Security Operations Center)を構築する動きが進んでいます。SOCでは、参加する医療機関のネットワークトラフィックを24時間365日監視し、異常を検知した際には即座にアラートを発信します。
このような共同SOCにより、個別の医療機関では負担が大きい高度な監視体制を、コストを分担しながら実現できます。2025年10月時点で、全国15の医療圏で共同SOCが稼働または準備中です。
相互バックアップ体制
地域内の複数の医療機関が、相互にバックアップデータを保管し合う体制も構築されています。A病院のバックアップをB病院が保管し、B病院のバックアップをA病院が保管することで、一方の病院が被災しても、他方の病院からデータを復旧できます。
この仕組みにより、低コストで地理的に分散したバックアップ体制を実現できます。データのプライバシー保護のため、バックアップデータは暗号化され、相互に内容を閲覧できない形で保管されます。
技術的対策と成功事例|実効性のある防御
理論的な対策だけでなく、実際に攻撃を防いだ、または被害を最小化した医療機関の具体的な取り組みを紹介します。
ゼロトラスト医療ネットワーク
従来の「境界防御」モデルから、ゼロトラスト原則に基づくネットワーク設計への移行が進んでいます。
マイクロセグメンテーション実装
先進的な医療機関では、ネットワークを細かく分割し、システム間の通信を最小限に制限するマイクロセグメンテーションを実装しています。たとえば、電子カルテシステム、医事会計システム、検査システムを完全に分離し、必要最小限の通信のみを許可します。
これにより、一つのシステムが侵害されても、他のシステムへの横展開を防ぐことができます。2025年の事例では、この対策により、マルウェアの感染を一つの部門に封じ込め、病院全体への影響を回避した事例が複数報告されています。
医療機器の隔離
特に重要なのは、医療機器を通常のITネットワークから完全に隔離することです。医療機器専用のVLAN(仮想LAN)を構築し、医療機器同士および医療機器と管理システム間の通信のみを許可します。
この隔離により、IoT/OTマルウェアによる医療機器への攻撃を大幅に減らすことができます。医療機器からインターネットへの直接アクセスは完全に遮断し、必要なアップデートやデータ送信は、セキュリティが確保された専用の経路を経由して行います。
先進病院の取り組み
実際にランサムウェア攻撃を防いだ、または迅速に復旧した医療機関の具体的な取り組みを紹介します。
- A総合病院の多層防御
- 東京都内のA総合病院(600床)は、2023年から段階的にセキュリティ対策を強化してきました。全端末へのEDR導入、医療系ネットワークと事務系ネットワークの完全分離、イミュータブル(不変)バックアップの実装などを行いました。イミュータブルバックアップとは、一度書き込まれたデータを変更・削除できない形式で保存する技術で、ランサムウェアによるバックアップの破壊を防ぎます。2025年に2回のランサムウェア攻撃を受けましたが、EDRが早期に検知し、感染した端末を自動的に隔離することで、被害を1台のPCに限定しました。診療への影響は全くなく、完全に攻撃を防御することに成功しました。年間のセキュリティ投資額は約2億円ですが、一度のランサムウェア被害を防げばその投資は回収できると、経営層は判断しています。
- B医療センターのBCP
- 地方都市のB医療センター(400床)は、デジタル化を進めつつも、アナログ運用の重要性を認識していました。電子カルテを導入していますが、重要な患者情報については紙カルテも併用して保管しています。また、人工呼吸器やペースメーカーなどの生命維持に直結する医療機器は、意図的にネットワークから切り離し、スタンドアロンで運用しています。地域内の他の病院との相互支援協定も締結しており、一方の病院がシステム停止した場合、他方が患者を受け入れる体制を整えています。2025年6月にランサムウェアに感染しましたが、このBCP体制により、3日間で診療を完全復旧させることができました。紙カルテでの診療継続訓練を定期的に実施していたことが、迅速な対応につながりました。
- Cクリニックグループの共同対策
- 関西圏で20のクリニックを展開するCグループは、単独では高度なセキュリティ対策が困難であることを認識し、共同での対策を実施しました。グループ全体で共同SOCを設立し、専門のセキュリティベンダーに運用を委託しました。脅威情報の共有、一括でのセキュリティソフトウェア購入によるコスト削減、定期的な合同訓練の実施などを行っています。規模の経済により、1クリニックあたりの負担額は年間500万円程度に抑えながら、大病院と同等のセキュリティ水準を実現しました。2025年に一つのクリニックがフィッシング攻撃を受けましたが、共同SOCが即座に検知し、他のクリニックへの波及を防ぎました。中小医療機関が共同で対策を実施する好例となっています。
以下の表は、対策の種類と投資効果を比較したものです。
| 対策カテゴリ | 具体的施策 | 初期投資 | 年間運用費 | 効果 | 投資回収期間 | 難易度 |
|---|---|---|---|---|---|---|
| エンドポイント保護 | EDR全台導入 | 5,000万円 | 2,000万円 | 極めて高 | 2年 | 中 |
| ネットワーク分離 | マイクロセグメンテーション | 3,000万円 | 500万円 | 高 | 3年 | 高 |
| バックアップ強化 | イミュータブルバックアップ | 2,000万円 | 1,000万円 | 極めて高 | 1年 | 中 |
| 職員教育 | 定期的フィッシング訓練 | 100万円 | 300万円 | 高 | 1年 | 低 |
| 脆弱性管理 | 定期的診断とパッチ適用 | 500万円 | 1,500万円 | 高 | 2年 | 中 |
| インシデント対応 | CSIRT構築、訓練 | 1,000万円 | 2,000万円 | 中 | 3年 | 高 |
| 共同SOC | 地域共同監視センター | 300万円(分担) | 500万円(分担) | 高 | 2年 | 低 |
| サイバー保険 | 包括的補償 | - | 800万円 | 中(事後対応) | - | 低 |
| 基本パッケージ合計 | 上記の必須施策 | 約1億円 | 約5,000万円 | インシデント1回防止で回収 | 2年 | 段階的実施可 |
人材育成と意識改革
技術的な対策と同等以上に重要なのが、医療従事者のセキュリティ意識の向上です。
医療従事者向けセキュリティ研修
医療従事者は、医療の専門家であってITの専門家ではありません。そのため、セキュリティ研修は、医療現場の実態に即した内容である必要があります。
効果的な研修の特徴:
- 医療現場で実際に発生したインシデント事例を使用
- 「なぜセキュリティが重要か」を、患者の安全と関連付けて説明
- 難しい技術用語を使わず、平易な言葉で説明
- 短時間(15-30分)で完結する内容
- eラーニング形式で、勤務の合間に受講可能
特に効果が高いのは、実際のフィッシングメールを使った訓練です。定期的に模擬フィッシングメールを送信し、クリックした職員には追加の教育を実施します。この訓練により、フィッシングへの耐性が大幅に向上します。
インシデント対応訓練
年2回のインシデント対応訓練は、単なる形式的な訓練ではなく、実践的な内容である必要があります。
効果的な訓練の要素:
- 電子カルテシステムの実際の停止(訓練環境または一部の部門で実施)
- 紙カルテでの診療継続(処方箋発行、検査オーダーなど)
- 経営層を含めた意思決定訓練(身代金を払うか、警察に通報するか等)
- 外部への情報公開とメディア対応
- 復旧作業の実践(バックアップからの復元)
訓練後は必ず振り返りを行い、課題を洗い出して改善につなげます。この継続的な訓練により、実際のインシデント発生時にパニックにならず、冷静に対応できる体制が構築されます。
今後の展望と提言
2025年の経験を踏まえ、2026年以降に医療機関が取り組むべき課題と方向性を提言します。
医療DXとセキュリティの両立
医療DX(デジタルトランスフォーメーション)の推進は、医療の質向上と効率化のために不可欠ですが、それはサイバーセキュリティが確保されることが前提です。
デジタル化を進めるほど、サイバー攻撃のリスクも高まります。この矛盾を解決するには、「セキュリティ・バイ・デザイン」の考え方が重要です。新しいシステムを導入する際、最初の設計段階からセキュリティを組み込むことで、後から対策を追加するよりも低コストで高いセキュリティを実現できます。
規制と支援のバランス
厚生労働省は規制を強化していますが、同時に医療機関への支援も必要です。特に中小の医療機関では、自己負担だけでは十分な対策が困難です。
今後、補助金制度の拡充、共同対策への支援、セキュリティ人材の派遣制度などが検討されるべきです。また、サイバー攻撃を受けた医療機関への支援体制(技術的支援、法務支援、広報支援など)の整備も急務です。
国際連携の強化
ランサムウェア攻撃は国境を越えて行われるため、国際的な協力が不可欠です。犯罪組織の摘発、身代金の資金追跡、脅威情報の共有などで、各国の法執行機関や医療機関が連携する必要があります。
2025年には、G7諸国の医療機関が参加する国際的な情報共有プラットフォームが稼働を開始しました。こうした国際連携を一層強化することが、グローバルな脅威への対抗手段となります。
よくある質問
- Q: なぜ医療機関ばかりが狙われるのですか?
- A: 医療機関が集中的に攻撃される理由は複数あります。①人命が関わるため身代金を支払いやすい(攻撃者の成功率が高い)、②セキュリティ投資が他業界より約10年遅れており、脆弱性が多い、③24時間365日停止できないという特性があり、迅速な復旧を迫られる、④患者の医療情報は極めて機微な個人情報であり、ダークウェブでの価値が高い、⑤医療機器の脆弱性が長期間放置されやすい(古いOSの使用、パッチ適用の困難さ)、⑥医療従事者のITリテラシーが相対的に低く、フィッシング攻撃が成功しやすい、などの理由があります。攻撃者にとって、医療機関は「成功率が高く、実入りも良い」理想的な標的なのです。この状況を変えるには、業界全体でのセキュリティ水準の底上げが不可欠です。
- Q: 身代金を払えば本当に復号してもらえますか?
- A: 統計上、身代金を支払った場合、約70%のケースで復号キーを受け取ることができます。しかし、いくつかの深刻な問題があります。①完全に復旧できるのは約30%のみで、多くの場合データの一部が破損または失われます、②復号後もバックドアやマルウェアが残存し、再攻撃のリスクが高まります、③一度支払った医療機関は「支払う組織」として記録され、再攻撃される確率が80%以上になります、④支払いは犯罪組織への資金提供となり、さらなる攻撃を助長します、⑤法的にも、反社会的勢力への資金提供とみなされる可能性があります。FBI、警察庁、厚生労働省ともに、身代金の支払いを推奨していません。確実な復旧には、定期的に取得したバックアップからの復元が必要です。
- Q: 中小病院でも本格的な対策は可能ですか?
- A: 段階的なアプローチにより、中小病院でも実効性のある対策は可能です。最優先で実施すべき基本対策:①3-2-1バックアップルールの実施(3つのコピー、2種類の媒体、1つはオフライン保管)、②全職員へのセキュリティ教育とフィッシング訓練、③Windows Updateの徹底適用。次段階として:①EDRまたはアンチウイルスソフトの全台導入(安価なものから開始)、②医療系と事務系のネットワーク分離、③事業継続計画(BCP)の策定と訓練。さらに、地域連携を活用:①共同SOCへの参加(コスト分担)、②近隣医療機関との相互支援協定、③共同購入によるコスト削減。完璧を目指す必要はなく、基本的な対策を確実に実施するだけで、被害の約8割は防ぐことができます。年間予算500万円程度から開始できる対策も多くあります。
- Q: 医療機器のセキュリティ対策はどうすれば良いですか?
- A: 医療機器のセキュリティ対策は、機器の特性を考慮した慎重なアプローチが必要です。推奨される対策:①医療機器を通常のITネットワークから物理的に分離(専用セグメントまたはVLAN構築)、②医療機器からインターネットへの不要な通信を遮断、③ファイアウォールやネットワークアクセス制御(NAC)による通信制限、④医療機器メーカーとの保守契約でセキュリティ対応を明記、⑤新規購入時はセキュリティ認証取得済み機器を優先選定、⑥定期的な脆弱性診断の実施(ただし診療に影響しない範囲で)。古い医療機器で対策が困難な場合は、ネットワークから完全に切り離してスタンドアロン運用も検討してください。重要なのは、人命に関わる医療機器については、セキュリティよりも可用性(確実に動作すること)を優先する判断も必要だということです。リスクと便益のバランスを考えた現実的な対応が求められます。
- Q: ランサムウェアに感染したらまず何をすべきですか?
- A: ランサムウェア感染が疑われた場合の初動対応手順:①感染した端末のネットワークケーブルを物理的に抜く(Wi-Fiもオフ)、②院内放送や緊急連絡網で全職員に即座に周知、③電子カルテが使えない前提で紙カルテ診療への切り替えを判断、④人工呼吸器など重要医療機器の動作確認と必要に応じた隔離、⑤厚生労働省および都道府県担当部局への報告(24時間以内)、⑥警察へのサイバー犯罪被害届の提出、⑦事業継続計画(BCP)の発動、⑧バックアップデータの状態確認(攻撃者がバックアップも破壊している可能性)、⑨セキュリティベンダーへの緊急連絡とフォレンジック調査の依頼。最も重要なのは、パニックにならず、人命最優先で、診療継続と感染拡大防止を両立させることです。そのためには、事前に訓練しておくことが何より大切です。初動の72時間が、その後の復旧期間を大きく左右します。
まとめ
2025年、医療機関へのランサムウェア攻撃は、単なるサイバー犯罪の枠を超え、公衆衛生と医療安全保障に関わる深刻な脅威となっています。被害件数の急増、人命への直接的な影響、そして経済的損失の巨大化は、医療機関がサイバーセキュリティを最優先課題として取り組む必要性を明確にしています。
攻撃手法は、医療機関特有の脆弱性を巧妙に突くように進化しています。医療機器への直接攻撃、地域医療連携システムを介した連鎖感染、そしてAIを活用した社会工学的攻撃は、従来の防御策では対処が困難です。
厚生労働省のガイドライン改定により、規制は強化されましたが、重要なのは形式的な対応ではなく、実効性のある防御体制の構築です。オフラインバックアップ、ネットワークセグメンテーション、職員教育、そして実践的な復旧訓練が、医療機関を守る基盤となります。
中小医療機関にとって、単独での対策は困難かもしれません。しかし、地域連携、共同SOC、相互支援体制などにより、コストを抑えながら高度なセキュリティを実現する道はあります。
最も重要なのは、「医療DX」と「サイバーセキュリティ」を対立するものではなく、両立させるべき車の両輪として認識することです。セキュリティが確保されない医療DXは、患者を危険にさらします。
2026年に向けて、医療機関、ベンダー、行政、そして患者を含むすべての関係者が協力し、安全なデジタル医療の実現に取り組む必要があります。サイバーセキュリティは、もはや「IT部門の問題」ではなく、「医療安全の問題」なのです。
関連記事
- マルウェア感染:包括的な対策ガイド
- ランサムウェアの完全ガイド
- 医療機関のサイバーセキュリティ事例集
- 事業継続計画(BCP)/災害復旧(DR)
- バックアップ戦略とランサムウェア対策
- ランサムウェア攻撃の完全ガイド
- サプライチェーン攻撃の脅威と対策
- 個人情報(PII)漏洩への対策
- IoT/OTセキュリティの実装と管理
- フォレンジック調査の実施方法
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の医療機関の状況に対する具体的な助言ではありません
- 実際にサイバー攻撃の被害に遭われた場合は、警察(サイバー犯罪相談窓口#9110)、厚生労働省、都道府県の医療安全担当部局などの公的機関に速やかにご相談ください
- 医療機器の改造やネットワーク設定の変更は、医薬品医療機器等法(薬機法)の規制を受ける場合があります。実施前に必ずメーカーに確認してください
- セキュリティ対策の実施は、医療安全と両立させる必要があります。患者の安全を最優先に、専門家の助言を受けながら段階的に進めてください
- 記載内容は2025年11月時点の情報であり、攻撃手法や規制は日々変化している可能性があります
- 具体的な対策の実施にあたっては、自院の状況に応じた専門家の評価とアドバイスを受けることを強くお勧めします
更新履歴
- 初稿公開
