| 発生時期 | 2021年10月31日(深夜に発覚) |
|---|
| 種別 | ランサムウェア(身代金要求型ウイルス) |
|---|
| 対象組織 | 徳島県・つるぎ町立半田病院 |
|---|
| 被害規模 | 電子カルテなど院内システムが暗号化され使用不能に。約2か月、新規患者の受け入れ停止など通常診療を大きく制限 |
|---|
| 主な手口 | 外部からの接続に使うVPN機器の脆弱性を突かれて侵入され、ランサムウェア「LockBit」によって院内データが暗号化された |
|---|
1. 事件の概要
2021年10月31日、徳島県つるぎ町の町立半田病院がランサムウェアの攻撃を受けました。ランサムウェアとは、パソコンやサーバーのデータを勝手に暗号化して使えなくし、「元に戻したければ身代金(ランサム)を払え」と要求する身代金要求型のウイルスです。
この攻撃で、患者の診療記録である電子カルテを含む院内システムが暗号化され、利用できなくなりました。プリンターから英文の脅迫文が大量に印刷されるなど、被害は深刻でした。病院は新規患者の受け入れを停止せざるを得ず、地域医療を支える病院の機能が約2か月にわたって制限される事態となりました。人命に関わる医療現場が標的になったことで、社会に大きな衝撃を与えた事件です。
2. 被害の内容と規模
電子カルテが使えなくなったため、過去の診療履歴や処方の記録を参照できなくなり、紙の運用に切り替えながらの対応を余儀なくされました。新規患者の受け入れを停止し、手術や救急対応にも影響が及びました。
主な影響
- 約2か月にわたり、通常診療が大きく制限された。
- システムの復旧・再構築に多額の費用と長い時間を要した。
- 病院は身代金を支払わず、システムを新たに作り直す形で復旧を進めた。
- 地域の中核病院が機能不全に陥り、住民の医療アクセスに影響した。
身代金を払っても、データが必ず元に戻る保証はありません。むしろ「払う組織」と認識され、再び狙われるリスクもあります。だからこそ「払わずに復旧できる備え(バックアップ)」が決定的に重要です。
3. 原因と手口
事後の調査報告では、複数の要因が重なって被害が拡大したことが指摘されました。
侵入の入り口
- VPN機器の脆弱性:外部から院内ネットワークに安全に接続するための「VPN機器」に、既に知られていた脆弱性(弱点)があり、修正プログラム(パッチ)が適用されていなかった。この弱点を突かれて侵入された。
- 認証情報の流出:VPNにログインするためのIDやパスワードが、攻撃者の間で出回っていた可能性が指摘された。
被害を広げた要因
- ウイルス対策ソフトが有効に機能していなかった:導入はされていても、適切に動作・運用されていなかった。
- バックアップも被害を受けた:復旧の頼みであるバックアップ自体が、ネットワークにつながっていたために一緒に暗号化・破壊され、すぐに戻せなかった。
- ネットワークの分離不足:侵入後に院内を広く動き回られ、被害が拡大した。
ランサムウェア対策の最大の盲点が「バックアップもやられる」ことです。常時つながっているバックアップは、本体と一緒に暗号化されてしまいます。ネットから切り離した(オフライン)バックアップが命綱になります。
4. 対策と教訓
ランサムウェアは、いまや中小企業・医療・自治体を問わず最大級の脅威です。この事件の教訓は、規模を問わずそのまま当てはまります。
中小企業でもできる対策
- VPN機器・ネット機器を最新に保つ:外部とつながる機器の脆弱性は真っ先に狙われる。メーカーの更新情報を確認し、パッチを早く当てる。
- 「3-2-1」バックアップを実践する:データは3つの複製を、2種類の媒体に、うち1つはネットから切り離して(オフライン/別拠点)保管する。
- 復旧訓練をしておく:バックアップから「実際に戻せるか」を試す。取っただけで戻せなければ意味がない。
- パスワードの使い回しをやめる:流出したID・パスワードの悪用を防ぐため、多要素認証(MFA)を導入する。
- ウイルス対策を「入れて終わり」にしない:きちんと動いているか定期的に確認・運用する。
5. まとめ
半田病院の事件は、ランサムウェアが「情報漏洩」を超えて「事業停止」を引き起こす脅威であること、そしてバックアップの取り方ひとつで復旧の早さが決まることを示しました。外部接続機器の更新、オフラインバックアップ、多要素認証——この3つは、今すぐ着手すべき最重要対策です。
※本記事は報道・公表された調査報告書など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。詳細・正確な情報は公式発表をご確認ください。