2022年10月31日の早朝6時38分、大阪急性期・総合医療センターの電子カルテシステムに異常が発生した。画面に映し出されたのは身代金を要求するランサムウェアのメッセージだった。病院は即座に紙運用へ切り替えたが、電子カルテシステムが完全復旧した2023年1月11日までの約73日間、外来・入院・手術の大幅制限が続いた。被害額は約20億円。なぜ病院がランサムウェアの標的になり、なぜここまで被害が拡大したのか——サプライチェーン侵入・内部のセキュリティ管理不備・医療ITの固有課題という三つの視点から事例を解説する。
組織概要
地方独立行政法人大阪府立病院機構が運営する大阪急性期・総合医療センターは、大阪市住吉区に位置する大阪府の基幹病院だ。病床数は865床(急性期・救急・がん・循環器等)で、年間外来患者数は約38万人、年間手術件数は約9,000件に及ぶ西日本有数の大規模病院だ。電子カルテをはじめとする医療情報システムは院内業務の中枢であり、その停止は直接的に患者の医療安全に影響する。
病院には医療・給食・設備など複数の外部委託業者がシステムに接続しており、この「委託業者ネットワーク」が今回の攻撃の入口となった。
何が起きたのか
タイムライン
- 2021年:院内給食を委託する「ベルキッチン」(運営:社会医療法人生長会)が使用するFortiGate VPN機器(バージョン5.4.8)の認証情報が不正に流出し、攻撃者に入手されたとみられる(後の調査で判明)。
- 2022年10月31日 6時38分:電子カルテシステムを含む基幹システムのサーバーで障害が発生。ランサムウェアに感染した全サーバーにファイルの暗号化が完了していた。
- 2022年10月31日 午前:病院は電子カルテシステムの使用を中止し、紙・手書きによる診療・看護記録に切り替え。予定していた手術・検査の一部を延期・中止。
- 2022年11月1日:外部のサイバーセキュリティ専門家および警察への届け出を実施。調査委員会を設置。
- 2022年11月中旬〜12月:段階的なシステム復旧作業を進めながら、感染範囲・侵入経路の特定調査を継続。
- 2023年1月11日:通常診療に係る電子カルテシステムが完全復旧(攻撃発覚から約73日)。
- 2023年3月:調査委員会が報告書を公表。侵入経路・セキュリティ管理の問題点を詳述。
- 2025年8月:NEC・生長会(ベルキッチン親会社)・日本電通の3社が大阪府立病院機構に対し10億円の解決金支払いで合意(民事和解)。
攻撃経路の分析
初期侵入:給食委託業者のVPN機器(確認済み)
侵入経路として確認されているのは、院内給食業務を委託している「ベルキッチン」(社会医療法人生長会)がデータセンター内に設置していたFortiGate VPN機器(バージョン5.4.8)だ。
このVPN機器のバージョン5.4.8は2021年時点でサポート終了済みであり、複数の重大な脆弱性が放置されていた。さらに、この機器の認証情報(ユーザー名・パスワード)が2021年に不正に収集・流出したリストに含まれており、攻撃者はこのリストを使って認証を突破したとみられる。
侵害の拡大:委託業者から病院本体へ(確認済み)
VPN経由でベルキッチンのシステムに侵入した攻撃者は、その後以下のステップで病院内部へと侵害を拡大した:
- ベルキッチンのデータセンターサーバーからリモートデスクトップ(RDP)接続を経由して病院内ネットワークへ侵入。RDP接続は業務上のメンテナンス用として「常時許可」状態にあった
- 病院内のネットワークに接続後、全ユーザーに管理者権限が付与されていたことを利用して自由に横展開
- 電子カルテシステムサーバーへのアクセスを取得し、搭載されていたウイルス対策ソフトをアンインストール
- Phobos亜種「Elbie」ランサムウェアを展開し、基幹システムサーバーを含む31台のサーバーを暗号化
なお、このランサムウェアは当初LockBitと報道されたケースもあったが、調査の結果Phobos(フォボス)の亜種「Elbie」であることが確認されている。全てのファイル拡張子が「.elbie」に変更されていた。
横展開を容易にした内部環境
攻撃者の横展開を極めて容易にしたのは病院内部のセキュリティ管理体制の問題だ(調査委員会報告書で確認済み):
- 全ユーザーへの管理者権限付与:一般職員を含む全員に管理者権限が割り当てられており、権限昇格が不要だった
- パスワード共通化:サーバーおよびPCのログインIDとパスワードを全職員が共通で使用していた
- 同時ログイン制限なし:同一アカウントの複数同時ログインを防ぐ設定がなかった
- 電子カルテサーバーにウイルス対策ソフト未設定:医療情報システム固有の互換性問題からセキュリティソフトの導入が見送られていた
被害内容
システム被害
- 暗号化されたサーバー:31台
- 不審な通信が確認された院内端末:約1,300台(院内端末の約半数)
- 電子カルテシステム:完全停止(約73日間)
- 患者情報漏洩:発表時点で「情報流出の事実は確認していない」(ただし調査中であり断定は困難)
業務影響
- 外来・入院・手術・検査を大幅制限。救急受け入れも一時制限
- 診療記録・看護記録を手書き紙に移行(職員の業務負荷が著しく増加)
- 投薬指示・検査オーダーの誤り防止機能を失い、手動確認プロセスに移行
- 外来患者の一部を近隣病院へ転送
財務的被害
- 調査・復旧・セキュリティ強化費用:約20億円(大阪府立病院機構の試算)
- 診療制限による逸失利益:数十億円規模(複数報道による推計)
- 2025年8月のNEC・生長会・日本電通との和解:10億円の解決金を機構が受領
- 身代金支払い:なし(「今後も含め交渉に応じない方針」と公表)
なぜ被害が拡大したのか
1. 委託業者VPNのセキュリティ管理を病院が把握していなかった
病院は医療・給食・設備保守など多数の外部委託業者を抱えており、それぞれがネットワーク接続を持っていた。しかし委託業者のVPN機器のバージョン・パッチ適用状況・認証設定を病院側が監査・把握する仕組みが存在しなかった。個人情報保護法が委託先への管理監督義務を委託元に課していることは周知だが、実際に技術的な監査を行っている医療機関は少ない。
2. RDPの常時許可が横展開の高速道路になった
ベルキッチンのシステムから病院内部へのRDP(リモートデスクトップ)接続が「業務上必要」という理由で常時許可されていた。これは攻撃者にとって侵入後の移動経路として機能した。RDPはランサムウェアグループが好んで利用する横展開手法の定番だ。業務上の必要性があるにしても、接続元IP制限・MFA・接続時間帯制限などの追加制御が必要だった。
3. 最小権限の原則が徹底されていなかった
全ユーザーに管理者権限を付与するという設計は、医療IT環境でよく見られる「動かすことを最優先にした結果のセキュリティ妥協」の典型だ。医療情報システムは独自の動作要件を持つことが多く、セキュリティ制限を加えると動作しないケースがあるため、管理者権限での運用が慣行化していることがある。しかしこれは攻撃者に「どこに侵入しても管理者として何でもできる」という状況を与える。
4. 電子カルテサーバーのウイルス対策ソフト未設定
医療情報システム(特に国内ベンダー製の電子カルテシステム)は、ウイルス対策ソフトのリアルタイムスキャンが動作パフォーマンスや動作保証に影響するという理由から、セキュリティソフトの除外設定や未導入が慣行となっているケースがある。しかしこれは「最も守るべきシステムが最も無防備」という逆説的な状況を生む。
5. バックアップが本番ネットワークと分離されていなかった可能性
73日間の復旧期間は、バックアップシステムも被害を受けた可能性を強く示唆する(公式に確認されていない)。バックアップが本番サーバーと同一ネットワーク上に存在していれば、ランサムウェアはバックアップも含めて暗号化できる。
同様の攻撃を防ぐ方法
委託業者のVPN・ネットワーク接続管理
- 委託業者がネットワーク接続を行う場合、その接続方法・使用機器・パッチ状況・認証設定を年次で確認・監査する契約条件を設ける
- 委託業者用の接続セグメントを本番医療情報システムとは分離し、相互通信を必要最小限に制限する
- 委託業者ごとに専用の接続アカウントを発行し、接続ログを記録・定期確認する
- 業者側VPN機器のEOL(サポート終了)を把握し、EOL機器は使用禁止を契約に明記する
RDPの適切な制御
- RDPを常時許可する設定を廃止し、接続に必要な場合のみ時間限定で許可する「ジャストインタイムアクセス」を実装する
- RDP接続元IPを許可リストで制限し、未知のIPからの接続を自動ブロックする
- RDPにMFAを適用する(Windows Hello for Businessや外部IDPとの連携)
- RDP接続ログをSIEMで監視し、深夜・休日の接続や短時間での複数ログイン試行を自動アラート化する
医療IT環境でのセキュリティ強化
- 電子カルテサーバーへのウイルス対策ソフト導入をシステムベンダーと協議する。スキャン除外設定を活用し、動作保証と両立させることが現実的な解だ
- ユーザー権限を役割ごとに分類し、一般職員・看護師・医師・システム管理者で権限レベルを分ける(最小権限の原則)
- 医療情報システム安全管理に関するガイドライン(厚生労働省)の「6.クラウドサービスを含む外部との接続」を参照し、委託業者との接続基準を定める
バックアップの保護
- バックアップは本番ネットワークから完全に分離したオフライン・オフサイト環境に保管する(3-2-1ルール)
- バックアップの復元テストを年2回以上実施し、「バックアップが実際に使える」ことを証明する
- バックアップへのアクセス権限を厳格に制限し、バックアップ専用の認証情報を本番システムと分ける
情シス担当者が確認すべき項目
- 院内ネットワークに接続している委託業者のリストを作成し、各社の接続方法・使用VPN機器・認証方式を把握しているか
- 委託業者が使用するVPN機器・リモート接続ツールのバージョン・パッチ状況を年次で確認する仕組みがあるか
- 委託業者からの接続に対し、接続元IP制限・MFA・時間帯制限などのアクセス制御が設定されているか
- ユーザーアカウントの権限が役割に応じて最小限に設定されているか(全ユーザー管理者設定になっていないか)
- 電子カルテシステムを含む基幹サーバーにウイルス対策ソフトが適用されているか。適用外の場合、ベンダーと代替対策を協議しているか
- バックアップは本番ネットワークから切り離したオフライン環境に保管されているか
- RDP接続ログを定期的に確認し、不審な接続(深夜・休日・未知IP)を検知できる体制があるか
- ランサムウェア発生時に電子カルテなしで診療を継続するための紙運用手順が文書化・訓練済みか
- インシデント発生時の連絡体制(経営層・委託業者・サイバーセキュリティ専門家・警察)が整備されているか
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版(第6.0版)を確認し、自院の対応状況を自己点検しているか
類似事例
- 徳島県つるぎ町立半田病院(2021年10月):同様にFortiGate VPNの脆弱性(院内給食委託業者経由)からランサムウェアが侵入。電子カルテが約2ヶ月停止した。大阪急性期との共通点は「給食委託業者のVPN経由」「電子カルテシステムへの影響」であり、日本の病院に共通する委託業者ネットワークのセキュリティリスクを示す事例だ。
- KADOKAWAグループ(2024年6月):BlackSuitランサムウェアによる攻撃。EDR未導入・ESXi集中管理・バックアップ不備という管理の複合的問題が被害を拡大。254,241人の個人情報漏洩・24億円の特別損失。「セキュリティソフト未導入のサーバーが存在した」という問題は病院事例と共通する。
- Change Healthcare(米国、2024年2月):米国の医療決済ネットワーク大手がBlackCatランサムウェアに攻撃された事案。医薬品の処方や保険請求に使われるシステムが数週間停止し、米国全土の病院・薬局に深刻な影響。VPN(多要素認証なし)経由の侵入で、医療インフラへのランサムウェア攻撃の最大規模事例。被害額は15億ドルを超えると推計。
参考情報
- 地方独立行政法人大阪府立病院機構「サイバー攻撃事案に関する調査委員会報告書」(2023年3月)
- 地方独立行政法人大阪府立病院機構「大阪急性期・総合医療センターのシステム障害に関するお知らせ」(2022年10月〜2023年1月)
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(2023年5月)
- ITmedia NEWS「全員に管理者権限、パスワードは全部共通、脆弱性は放置……」(2023年3月28日)
- piyolog「ランサムウエア起因による大阪急性期・総合医療センターのシステム障害についてまとめてみた」(2022年11月)
- Security NEXT「給食委託先経由で侵入された可能性 - 大阪急性期・総合医療センター」
- 個人情報保護委員会 医療機関関連セキュリティインシデント事例