はじめに

2026年2月13日、日本医科大学武蔵小杉病院（川崎市）がランサムウェアによるサイバー攻撃を受け、患者約1万人分の個人情報が外部に漏洩したことが明らかになりました。攻撃者は身代金として1億ドル（約150億円）を要求しましたが、病院側は支払いを拒否しています。

医療機関を標的としたランサムウェア攻撃は近年急増しており、患者の生命に直結する医療サービスを人質に取る深刻な脅威です。本記事では、今回の攻撃の詳細と侵入経路、そして医療機関に求められるセキュリティ対策について解説します。

攻撃の経緯と被害の全容

ナースコールの異常から発覚

事件が発覚したのは2026年2月9日午前1時50分頃のことです。病棟のナースコール端末が突然動作不良を起こし、看護師が異常に気づきました。ナースコールシステムのベンダーが調査を行った結果、サーバーがランサムウェア攻撃を受けていたことが判明しました。

病院は直ちに該当システムと関連ネットワークを遮断し、厚生労働省や関係省庁、神奈川県警に通報しました。翌2月10日には厚生労働省の初動対応チームの派遣を要請し、外部接続ネットワークの遮断とサーバーの保全作業を開始しています。

漏洩した個人情報の内容

攻撃を受けたのはナースコールシステムサーバー3台です。病院側の調査で確認された情報漏洩の対象は約1万人分の患者情報で、漏洩した項目は氏名、性別、住所、電話番号、生年月日、患者IDです。

一方、攻撃者を名乗るグループはインターネット上で、同病院から約13万件の個人情報を窃取したと主張しています。病院側が確認した約1万人と攻撃者の主張する約13万件との間には大きな乖離があり、被害の全容はまだ明らかになっていません。

150億円の身代金要求

攻撃者はサーバーに身代金として1億ドル（日本円で約150億円）を要求する声明を残していました。この金額は過去の医療機関に対する身代金要求と比較しても桁違いに大きなものです。

病院側は「毅然とした態度で臨む」として身代金の支払いを明確に拒否し、神奈川県警に被害届を提出しました。外来診療、入院診療、救急受け入れについては2月13日時点で通常通り実施されています。

VPN脆弱性を突いた侵入手口

医療機器保守用VPNが狙われた

今回の攻撃の侵入経路は、医療機器保守用のVPN装置であることが確認されています。病院が保有する20台のVPN装置のうち1台が侵入を受け、そこからシステムサーバーへのアクセスが行われ、情報が窃取されました。

医療機器の保守用VPNは、メーカーやベンダーが遠隔で機器のメンテナンスを行うために設置されるものです。通常の院内ネットワークとは別の接続経路であるため、セキュリティ監視の対象から外れやすいという問題があります。

繰り返されるVPN経由の医療機関攻撃

VPNの脆弱性を突いた医療機関へのランサムウェア攻撃は、今回が初めてではありません。2021年には徳島県つるぎ町の半田病院がVPN経由の攻撃を受け、電子カルテシステムが約2カ月にわたり使用不能となりました。約8万5千人分の患者データが暗号化される深刻な被害が発生しています。

2022年には大阪急性期・総合医療センターでも同様の手口で攻撃を受け、こちらも復旧に約2カ月を要しました。これらの事例はいずれもVPN機器のファームウェアが最新の状態に更新されていなかったことが原因の一つとされています。

今回の武蔵小杉病院の事例では、電子カルテに紐づいていた医療機器のVPNに脆弱性があったにもかかわらず、そこまで監視が行き届いていなかったことが指摘されています。

医療機関が狙われる理由と対策

なぜ医療機関が標的になるのか

医療機関がサイバー攻撃の標的となりやすい理由は複数あります。第一に、診療記録や保険情報、連絡先など、売買可能な個人情報が豊富に蓄積されています。第二に、業務の中断が患者の生命に直結するため、身代金の支払いに応じやすいと攻撃者に見なされています。

警察庁とIPAの共同調査によると、医療機関は全産業の中で最も攻撃を受けやすいセクターとなっており、攻撃成功率も他業界の約3倍に達しています。2025年以降、医療機関へのサイバー攻撃は質・量ともに過去最悪の水準に達しており、「デジタル・ヘルステロ」とも呼ばれる深刻な事態です。

厚生労働省のガイドラインと義務化

こうした状況を受けて、厚生労働省は2023年に医療法施行規則を改正し、病院、診療所および助産所でのサイバーセキュリティ確保のための措置を義務化しました。「医療情報システムの安全管理に関するガイドライン第6.0版」も公開され、医療機関に具体的な対策の実施を求めています。

ガイドラインでは、VPN機器を含むネットワーク機器のファームウェアの定期的な更新、多要素認証の導入、ネットワークセグメンテーションの実施などが推奨されています。しかし、IT専門の人材が限られる医療機関では、これらの対策が十分に実施されていないケースが少なくありません。

求められるゼロトラストの考え方

従来の境界防御型のセキュリティ対策だけでは、最新のサイバー攻撃を防ぎきることは困難です。今回の事例でも、保守用VPNという「境界の外」からの侵入が行われました。

セキュリティ専門家は、医療機関においてもゼロトラスト（すべてのアクセスを信頼しないという前提に立つセキュリティモデル）の導入を推奨しています。すべてのデバイスやユーザーのアクセスを常に検証し、最小限の権限のみを付与することで、仮に一つの経路が突破されても被害の拡大を防ぐことが可能です。

注意点・展望

患者ができること

情報漏洩の対象となった患者は、不審な電話やメール、郵便物に注意が必要です。漏洩した情報には氏名、住所、電話番号が含まれているため、なりすましや詐欺に利用される恐れがあります。身に覚えのない連絡には安易に応じず、不審に感じた場合は警察に相談することが重要です。

医療機関のセキュリティ強化が急務

今回の事件は、医療機関のサイバーセキュリティ対策の不足を改めて浮き彫りにしました。特に保守用VPNなど、メインのセキュリティ対策から見落とされがちな接続経路の管理が重要です。

今後は、厚生労働省による医療機関のセキュリティ監査の強化や、専門人材の育成支援なども求められるでしょう。医療のデジタル化が進む中、患者の生命と個人情報を守るための投資は、もはや後回しにできない課題です。

まとめ

日本医科大学武蔵小杉病院へのランサムウェア攻撃は、医療機器保守用VPNの脆弱性を突いた手口で、患者約1万人の個人情報が漏洩するという深刻な被害をもたらしました。病院側は150億円の身代金要求を拒否し、診療は継続しています。

医療機関を狙ったサイバー攻撃は増加の一途をたどっており、VPN機器の脆弱性管理やゼロトラストモデルの導入など、包括的なセキュリティ対策の実施が急務です。患者の安全と個人情報を守るため、医療業界全体でのセキュリティ意識の向上が求められています。

参考資料:

• 当院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び - 日本医科大学武蔵小杉病院
• 武蔵小杉病院、ナースコールがランサムウェアの餌食に 患者1万人の個人情報が漏えい - ITmedia NEWS
• またもVPNからランサム被害、日本医科大学武蔵小杉病院で約1万人の情報漏洩 - 日経クロステック
• 武蔵小杉病院にサイバー攻撃 患者1万人の個人情報流出 身代金150億円「応じない」 - テレビ朝日
• 医療分野のサイバーセキュリティ対策について - 厚生労働省
• 川崎の大学病院にサイバー攻撃、患者1万人の個人情報が漏えい - 神奈川新聞