2021年10月31日午前0時30分、徳島県美馬郡つるぎ町のつるぎ町立半田病院で病棟内の全プリンターが一斉に英文メッセージを出力し始めた。ランサムウェアグループ「LockBit 2.0」の犯行声明だった。電子カルテシステムが暗号化され、約200台の端末のうち40台にLockBitの拡張子が確認された。60日間にわたって電子カルテが使用できない状態が続き、5,000冊以上の紙カルテへの手動入力、小児科・産科の機能制限、診療報酬請求の長期停止という苦境に追い込まれた。復旧費用は約2億円に達した。侵入経路は古いVPN機器の未修正脆弱性(CVE-2018-13379)だった——パッチを当てさえすれば防げた可能性が高い攻撃だ。
組織概要
つるぎ町立半田病院は徳島県美馬郡つるぎ町に位置する地方公立病院で、病床数は120床、診療科は内科・外科・整形外科・小児科・産科等を持つ地域の中核医療機関だ。人口約8,000人のつるぎ町において分娩・小児救急を担う数少ない施設として地域医療を支えていた。2016年から電子カルテシステムを導入し、診療・処方・検査・会計等の業務をシステムに依存する体制となっていた。院内のIT担当者は専任ではなく兼任で、専門的なセキュリティ要員がいない小規模病院の典型的な体制だった。
何が起きたのか
タイムライン
- 2021年10月31日(日)午前0時30分頃:病棟内すべてのプリンターが自動的に英文メッセージを出力開始。病院スタッフが異変を認識。LockBit 2.0の犯行声明が印刷された文書には「データを盗み、暗号化した。期限内に連絡がなければデータを公開する」という趣旨の内容が記載されていた。
- 2021年10月31日(日)早朝:電子カルテシステムおよびそれに連動するすべてのシステム(処方システム・検査システム・会計システム等)が使用不能に。院内LANを遮断。
- 2021年11月1日(月)午後4時:病院が記者会見を開催し、ランサムウェア被害を公表。
- 2021年11月上旬:電子カルテが使用できないため、約5,000冊の紙カルテを倉庫から引き出し、すべての診療記録を手書きで記録する体制に切り替え。新規外来患者の受付を制限し、重篤患者の受け入れを他の医療機関に依頼。
- 2021年11月中旬:小児科・産科において紙カルテを使った診療を再開。ただし対応できる症例は限定される。
- 2021年11月〜12月:診療報酬の算定・請求が完全に停止した状態が続く。収入を得られない状態での診療を余儀なくされる。
- 2021年12月28日:セキュリティ強化を施した修復済みシステムが納品・返却される。
- 2022年1月4日:電子カルテシステムが復旧し、通常診療を再開。発生から約65日間のシステム停止だった。
攻撃経路の分析
初期侵入:FortiGate VPNの未修正脆弱性(CVE-2018-13379)
調査の結果、攻撃者の侵入経路としてVPN機器(Fortinet FortiGate 60E)の脆弱性(CVE-2018-13379)が侵入口として使われた可能性が高いとされている。CVE-2018-13379はFortiGate SSLのWebポータルに存在するパストラバーサル脆弱性で、未認証の攻撃者がシステムファイル(VPNのセッション情報・資格情報ファイル)を読み取れるという深刻な欠陥だ。深刻度はCVSSスコア9.8(Critical)に相当し、Fortinetは2019年5月にパッチをリリースしていた。
つまりパッチは2019年5月に提供されていたにもかかわらず、2021年10月の攻撃時点で未適用のままだった。このCVE-2018-13379はCISA(米国サイバーセキュリティ・インフラ安全保障庁)のKEV(Known Exploited Vulnerabilities)カタログにも登録されており、世界的に悪用が継続している脆弱性だ。
権限昇格・横展開(推定)
CVE-2018-13379でVPN機器からセッション情報・認証情報を窃取した攻撃者は、これを使って内部ネットワークに侵入した可能性がある。内部に入った後の権限昇格・横展開の詳細は公表されていないが、電子カルテサーバーを含む複数のシステムが暗号化されていることから、ドメイン管理者権限またはそれに近い権限を取得していたと推測される。
LockBit 2.0の二重脅迫
使用されたLockBit 2.0は2021年に猛威を振るったRaaS(Ransomware-as-a-Service)型ランサムウェアだ。「暗号化」と「データ公開の脅迫」を組み合わせる二重脅迫型で、犯行声明文には「期限内に連絡しなければ盗んだデータを公開する」という内容が含まれていた。半田病院は実際にデータ公開サイト(いわゆる「リークサイト」)へのカウントダウンが設置されていたことが確認されている。最終的にデータが実際に公開されたかどうかは不明だが、病院側は身代金を支払っていないと明言している。
攻撃タイミングの戦略性
攻撃が発生した10月31日は日曜日の深夜だ。病院のIT担当者が常駐していない時間帯を狙うことで、初動対応が遅れ被害が拡大しやすい。病院という「24時間稼働・停止が許されない」特性を持つ組織を標的にすることで、攻撃者は「身代金を払わなければ患者の安全が危険にさらされる」という心理的圧力を最大化しようとした。
被害内容
システム停止
- 電子カルテシステム:約65日間停止(2021年10月31日〜2022年1月4日)
- 処方システム・検査システム・会計システム:連動停止
- 端末200台中40台でLockBit拡張子を確認(暗号化)
- 院内LANの全遮断
医療・業務への影響
- 約5,000冊の紙カルテへの手作業記録への切り替え
- 新規外来患者の受け入れ制限
- 重篤患者の他院への転送依頼(受け入れ不能状態)
- 小児科・産科の機能制限(地域唯一の分娩施設として深刻な影響)
- 診療報酬の算定・請求が2ヶ月間完全停止(収入ゼロでの診療継続)
金銭的損失
- システム修復・新規構築費用:約2億円
- 11〜12月の診療報酬未収入:数千万円規模
- 合計損失は2億円超と推定される
- 身代金の支払い:なし(病院側が公表)
情報漏洩
攻撃者は「データを盗んだ」と主張しているが、病院の調査では窃取された患者情報の具体的な内容・件数は「確認中」とされており、公表された時点での断定はされていない。診療情報・個人情報が攻撃者の手に渡った可能性は否定できない状態が続いた。
なぜ被害が拡大したのか
1. 既知の脆弱性に3年以上パッチを当てていなかった
CVE-2018-13379のパッチは2019年5月提供、攻撃は2021年10月——パッチ提供から2年5ヶ月以上が経過していた。このCVEは当時から医療機関・政府機関・重要インフラを狙う攻撃者の標準的な侵入ツールとして知られており、CISAも繰り返し注意喚起を行っていた。「なぜ適用されなかったのか」について病院は「VPN装置の管理を外部ベンダーに委託していたが、更新作業が実施されなかった」と説明した。専任ITスタッフ不在の小規模病院がIT機器の脆弱性管理を外部委託に依存することの危うさを示している。
2. 病院という「止められない」組織の特性が被害を深刻にした
一般企業であれば「システムが停止したら業務を一時停止する」という選択肢がある。しかし病院は患者の生命に関わるため、電子カルテが使えない状態でも診療を継続しなければならない。この「停止が許されない」特性は攻撃者が計算に入れており、身代金交渉においても有利に働く。結果として60日間もの「紙カルテ手書き診療」という極めて非効率な状態での医療提供を余儀なくされた。
3. バックアップが機能しなかった(または十分でなかった)
電子カルテの復旧に65日を要したことは、バックアップからの迅速な復旧ができなかったことを示唆する。ランサムウェアに対してバックアップが機能するためには、(1)オフラインに保管されている、(2)攻撃前の状態に戻せる世代が保存されている、(3)復旧手順が整備され実際に復元テストが行われている、の3点が必要だ。これらのいずれかが不十分だったと推測される。
4. 専任セキュリティ担当者の不在
地方の公立病院にとって、専任のサイバーセキュリティ担当者を置くことは現実的に難しい。IT担当者が兼任で、脆弱性情報の収集・パッチ管理・インシデント対応計画の整備を専門知識なしに行うことには限界がある。しかし「小規模病院だからセキュリティは後回し」という判断が、医療継続の危機を招いた。
同様の攻撃を防ぐ方法
VPN機器のパッチ管理を最優先に
- VPN機器・ファイアウォール等のネットワーク境界機器のファームウェア・ソフトウェアのバージョンを月次で確認し、Critical/Highの脆弱性は30日以内にパッチを適用するルールを設ける
- Fortinet・Cisco・Palo Alto等のVPNベンダーのセキュリティアドバイザリをメールで受信する設定にする
- IT機器の管理を外部委託している場合、「パッチ適用の責任と頻度」を委託契約に明示的に記載し、月次の適用報告を受け取る体制にする
- CISAのKEVカタログ(既知悪用脆弱性リスト)を参照し、使用中の機器の脆弱性が登録されていないか確認する
医療機関向けバックアップ設計
- 電子カルテのバックアップは「3-2-1ルール」(3コピー・2種類メディア・1つはオフライン)で保管し、ランサムウェアがネットワーク経由でバックアップを暗号化できない構成にする
- 最低でも「前日分のバックアップから48時間以内に電子カルテを復旧できる」ことを目標に、復旧手順書を整備し年1回以上復旧演習を実施する
- 電子カルテ停止時の「紙カルテ運用手順」も平時から整備しておく(今回の半田病院はこの切り替えに時間を要した)
医療機関のセキュリティ体制整備
- 都道府県・地域の医療情報ネットワーク(HPKI等)や厚生労働省「医療情報システムの安全管理に関するガイドライン」を参照し、自院の体制を定期的に評価する
- 専任IT担当者が置けない場合は、地域の医師会・病院団体・都道府県CSIRT等のサポートを活用する
- インシデント発生時に相談できるセキュリティベンダーとの事前契約(リテーナー)を結んでおく
ネットワーク分離とゼロトラスト
- 電子カルテネットワークと院内の一般業務ネットワーク(事務PC等)を分離し、医療機器・電子カルテへの不審なアクセスが広がりにくい設計にする
- VPNからのアクセスにMFA(多要素認証)を設定し、認証情報が盗まれても侵入できないようにする
- 医療機器(CT・MRI等)が外部インターネットに直接接続されていないか確認する
情シス担当者が確認すべき項目
- 使用しているVPN機器・ファイアウォールのファームウェアが最新版か確認する(Fortinet・Cisco・Pulse Secure等)
- Fortinet FortiGate を使用している場合、CVE-2018-13379のパッチ(FortiOS 5.4.13, 5.6.8, 6.0.5, 6.2.0以降)が適用済みか確認する
- IT機器の脆弱性情報を月次で確認するプロセスが存在するか。誰が担当しているか
- 電子カルテのバックアップがオフラインに保管されているか
- バックアップから電子カルテを復旧する手順が文書化されており、実際に復旧できるか確認したことがあるか
- 電子カルテが停止した際の「紙カルテ運用」手順が整備されているか。スタッフは手順を知っているか
- VPNへのアクセスにMFAが設定されているか
- 電子カルテネットワークと事務ネットワークが分離されているか
- インシデント発生時の連絡先(院長・理事会・都道府県・厚生労働省・警察)のフローが整備されているか
- 厚生労働省「医療情報システムの安全管理に関するガイドライン(第6.0版)」の内容を確認したことがあるか
類似事例
- 大阪急性期・総合医療センター × Elbie(Phobos亜種)ランサムウェア(大阪府、2022年10月):大阪府立の高度急性期病院が給食委託業者のVPNを経由してランサムウェアに感染し、電子カルテが73日間停止。被害額は約20億円に達した。半田病院事案の翌年に発生した国内最大規模の医療機関ランサムウェア被害であり、「病院直接ではなく委託業者VPNからの侵入」というルートが半田病院とは異なるが、電子カルテ停止・医療継続の危機という構造は共通する。
- Düsseldorf University Hospital(ドイツ、2020年9月):ドイツのデュッセルドルフ大学病院がランサムウェアに攻撃され、緊急患者の転送中に女性患者が死亡したと報告された(因果関係は最終的に否定されたが、医療とサイバー攻撃の致命的リスクが初めて注目された事案)。病院へのランサムウェア攻撃が「命のリスク」に直結することを国際社会に示した。
- Ascension Health(米国、2024年5月):米国最大の非営利医療法人グループがBlack Bastaランサムウェアに攻撃され、140以上の病院で電子カルテシステムが停止。手術のキャンセル・救急患者の転送が相次いだ。医療機関がランサムウェアの最優先標的である現状を示す最新事例。
参考情報
- つるぎ町立半田病院「サイバー攻撃(ランサムウェア被害)についての報告書(調査・復旧)」(2022年)
- ITmedia「徳島県の病院がランサムウェア『Lockbit』被害 電子カルテと院内LANが使用不能に」(2021年11月)
- 日経クロステック「ランサムウエア攻撃に遭った徳島・半田病院、被害後に分かった課題とは」
- CISA Known Exploited Vulnerabilities Catalog(CVE-2018-13379)
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年)
- NISC「医療分野のサイバーセキュリティ対策について」
- Fortinet セキュリティアドバイザリ FG-IR-18-384(CVE-2018-13379)(2019年5月)