医療法人がターゲットになる理由－サイバー攻撃への対策【医療機関ランサムウエア攻撃実例事案付き】｜仕事に生きる

仕事に生きる Live in Work

医療法人がターゲットになる理由－サイバー攻撃への対策【医療機関ランサムウエア攻撃実例事案付き】

仕事に生きる

公開日：2025年03月26日 / 更新日：2025年03月12日

医療法人がターゲットになる理由－サイバー攻撃への対策【医療機関ランサムウエア攻撃実例事案付き】

※画像はイメージです／PIXTA

大手企業がランサムウェア攻撃を受け、機密情報が盗まれるニュースが頻繁に報道されていますが、これらはテレビの向こうの話ではなく、医療現場を含む”ごく身近”で増加傾向です。コラムではコンピューター犯罪の現状と対策について3回の連載で探っていきます。また、2025年2月に公開されたばかりの、岡山にある医療機関へのランサムウエア攻撃事例と報告書も文末に掲載しております。非常に具体的な状況を扱った報告となりますので、ぜひご一読を！

▶「MedicalLIVES」メルマガ会員登録はこちらから
日々の診療に役立つコラム記事や、新着のクリニック開業物件情報・事業承継情報など、定期配信する医療機関向けメールマガジンです。

【全体の傾向として】コンピューター犯罪は大きく増加傾向

「近年、サイバー攻撃事案が増えている印象はありますか？」

聞きなじみのある大手企業がランサムウェア攻撃※で機密情報を盗まれたといようなニュースがかなり増えました。コンピューター関連の犯罪は増加傾向にあり、報道されるのは氷山の一角にすぎません。警察庁の調査によると不正アクセス行為と認知されたものだけでも令和５年では６千件を超えています。

※ランサム（Ransom＝身代金）の名の通り、企業や個人のデータファイルやPCを暗号化してアクセスできなくし、漏洩データの公開取り下げやデータの復旧を条件に金銭を要求する悪意あるソフトウェアの総称

出典：警察庁資料（PDF）（2025年3月）

同調査によると、ほとんどの攻撃者の目的が金銭的利益であることが示されています。
注意するべきなのは、この調査は不正アクセスと認知された件数であることです。通報されていない等、調べられるきっかけがなかったものが多数存在した、むしろそのほうが多く起こった、と考えられます。

出典：警察庁資料（PDF）（2025年3月）

【犯罪対象の変化】標的の多様化、中小の組織が狙われる現状とは

読者の皆さまも詐欺メールを受け取ったことがあると思います。実はこれもサイバー攻撃の一つであり、1個人であっても狙われる明らかな事例です。
上記の認知件数は法人と個人の両方を含んでいて内訳はわかりませんが、JNSA（NPO日本ネットワークセキュリティ協会）のレポートによると、組織としての被害者のうち半分近くが中小企業とのことです。
この報告書の中で「中小企業や小規模事業者では（中略）被害公表に積極的ではないと推定される」とし、数字に表れている以上の中小の組織が被害にあっている可能性を示唆しています。

出典：NPO日本ネットワークセキュリティ協会『インシデント損害額調査レポート』（PDF）

【なぜ狙われるのか】個人や中小の組織は、攻撃者にとってローリスク標的である

攻撃者視点から見てみると、個人や中小企業が狙われやすい理由が容易に想像できます。被害に遭うまでほとんどの人が
・IT技術に詳しくなろうとせず、防御の意識が薄い
・IT資産の管理を面倒と感じ、ウェブサイト毎に個別に推測しにくいパスワード設定は負担と考える
・複雑なパスワードをメモせず記憶しておくのが大きな手間だと考える
つまり、攻撃者に対する基本的なセキュリティ対策が実行されていません。

これらはよく聞く話であり、つまり攻撃者からすると手軽で、ローリスクな標的となりえます。攻撃が失敗しても通報されることは少なく、うまく行けば攻撃そのものに気づかれない。気が付かれた時点では攻撃は成功、つまり手遅れという状態も多く、悪意を持った攻撃者にとって個人商店や中小企業は「狩り放題のIT弱者」と思われていると自覚し、気に掛けるほうが良いでしょう。

またその中でも医療機関の保持する患者情報は、ほぼすべて要配慮個人情報であり、漏洩があってはならないものです。それをサイバー攻撃犯に渡してしまうことは、患者やその家族、病院の信用など広範囲に重大なダメージがあることを見越して標的とされやすい組織であることを忘れてはいけないでしょう。

攻撃者は、自分たちにとってやり慣れた標的を選ぶ

ある目的を達成するのにより簡単な方法、またはすでに方法が確立しているならそれをそのまま使うのがコスパも良い、これはサイバー犯罪者も同様で中小規模の組織が狙われるのはコスパが良く、楽だからです。
上記の警察庁によるレポートでは金銭目的が最も多く、手段としてはインターネットバンキングによる不正送金等が多用されています。

◆近年のサイバー犯罪手口の動向
2024年下半期の「ESET Threat Report」から近年のサイバー犯罪の手口をいくつか紹介します。

・生成AIを悪用した投資詐欺
有名人やブランド名を勝手に使った広告をSNS等で見かけたことはありませんか？最近では生成AIを使い、あたかも著名人がある投資商品をサポートしているような動画を作成し、広告に投入する事案が増えています。

・良いカモはいつまでもカモである連鎖
たちが悪いのは、詐欺被害者を更に狙う詐欺は多い、ということです。犯罪者に成功体験を味わせてしまうとさらに狙われやすくなってしまいます。

詐欺被害にあった金銭を迅速に取り戻すことをうたう広告の例

【犯罪手口】巧妙なスマホ向け偽アプリでネット銀行からの不正送金

最近のスマートフォンは、ウェブページの内容をホーム画面に設置してアプリのように動作させる機能があります。それらの（WebAPKやPWAと呼ばれる仕組みの）アプリは表面上は正規アプリと見分けがつかないこともあり、公式アプリストア以外のサイトからも自由に「インストール」できてしまいます。
これを悪用した偽のアプリからモバイルバンキングの認証情報が狙われています。2023年にも国内メガバンクに成りすましたメールやサイトを使った犯罪がありましたが、それ以降も増加を続け昨年末時点での不正送金被害額は80億円を超しました。誤ってインストールしないよう警戒しておきましょう。

正規モバイルバンキングアプリ（左）、WebAPK版偽アプリ（中央）とPWA版偽アプリ（右）

【防犯対策の基礎】最大の弱点は「ひと」／2025年2月の医療機関へのランサムウェア攻撃事例

ここまで読んでも「自分は大丈夫だろう」と感じてしまう読者は意外と多いのではないかと思います。人には自分に都合の良いように物事を解釈する正常性バイアスが備わっているので、これも自然なことです。
被害報告などでは「メールのリンクをクリックしたのが原因」のような、直接的な「行動」そのものが言及されがちですが、「自分は大丈夫だろう」「正常性バイアス」によって事前準備を怠った結果の被害です。

最後に、今年（2025年）2月に公開されたばかりの岡山県精神科医療センターにおけるランサムウェア攻撃事案レポートについて紹介をいたします。

岡山県精神科医療センターにおけるランサムウェア攻撃事案についての報告書

2025年2月、岡山県精神科医療センターにおけるランサムウェア攻撃事案についての報告書（当該病院の報告書掲載ページへ遷移します）が公開されました。
実際に起きた精神医療現場での情報漏洩というインシデントは読むに胃の痛くなる事例ですが、サイトにある「一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすること」を目的とした本報告書は一読の価値があります。病院経営者であればリンク先PDFにある報告書で理事長による「はじめに」と、後半の『8 詳細編組織的対策』、システム担当者であれば全文に目を通しておきたい活かすべき事例報告書といえるでしょう。

次回はこの惰性となりがちな正常性バイアスを断ち切るべく、組織が持つべき姿勢やサイバーセキュリティへの取り組み方についてお話します。