電子カルテが数ヶ月停止|岡山県精神科医療センターのランサムウェア事件から学ぶバックアップ戦略
secure1. インシデント概要
岡山県精神科医療センター(岡山市北区、病床数250床)は、精神疾患に特化した地方独立行政法人の病院です。2024年5月19日(日曜日)午後4時頃、電子カルテシステムを含む総合情報システムに突然の障害が発生しました。翌20日に「サイバー攻撃の可能性がある」と公表し、院内ネットワークを即時遮断。紙カルテによる診療継続に切り替えました。
攻撃の経路と手口
2025年2月13日に公表された調査報告書によると、攻撃者は2018年の設置以来パッチが一度も更新されていなかった保守用SSL-VPN装置の脆弱性を突き、病院内ネットワークに侵入しました。そこで使用されていた管理者ID/パスワードは 「administrator / P@ssw0rd」 という推測容易なものであり、院内のWindowsコンピューター全台の管理者アカウントにも同じパスワードが使い回されていました。
侵入後、攻撃者はActive Directoryサーバに到達し、約6日かけて内部を調査・横展開したのち、ランサムウェアを一斉に展開しました。
被害の規模
| 被害対象 | 台数・規模 |
|---|---|
| 仮想サーバー(暗号化) | 23台 |
| 仮想用共有ストレージ | 1台(データ全喪失) |
| 物理サーバー(暗号化) | 9台 |
| HIS系クライアント端末 | 244台 |
| 漏洩した患者情報 | 最大約4万人分(氏名・住所・生年月日・病名等) |
| その他漏洩情報 | 病棟会議議事録等 |
インシデントタイムライン
2. 電子カルテ停止による業務への影響
電子カルテの停止は、現代の病院運営において単なる「システム障害」ではありません。投薬指示・検査オーダー・看護記録・会計請求のすべてが電子カルテと連動している病院では、紙運用への切り替えが即座に多大な負荷をもたらします。
約3ヶ月にわたる紙カルテ運用の中では、以下のような実務上の問題が発生していたとされています。
- 過去の診療履歴へのアクセスが困難(暗号化前のデータが参照不能)
- 投薬履歴の確認に時間を要し、処方ミスリスクが上昇
- 手書き記録の転記・管理に膨大な人的工数が発生
- 診療報酬請求業務の遅延による資金繰りへの影響
- 患者・家族への説明対応、問い合わせ対応による業務逼迫
精神科という診療科の特性上、患者の継続的な服薬管理や病状経過の記録は特に重要です。電子カルテが3ヶ月使えないという状況は、医療安全の観点からも深刻なリスクをはらんでいました。
3. バックアップ不備が引き起こした長期化
この事件で復旧が約3ヶ月にも及んだ最大の理由は、バックアップデータも攻撃者に破壊されていたことです。
病院のバックアップデータはすべてネットワーク接続されたストレージに保存されており、ランサムウェアの感染拡大とともに暗号化・破壊されました。
オフラインバックアップ(ネットワークから切り離した媒体への保存)が実施されておらず、攻撃者がActive Directoryを掌握した時点で、バックアップを含む全データへのアクセス権を得ていました。
復旧作業では、暗号化を免れたデータウェアハウス(DWH)から断片的な情報を復元しながら、新規サーバーを調達し、手動でデータを再入力するという作業が続きました。これが3ヶ月という長期停止の直接原因です。
よくある「バックアップしているつもり」の落とし穴
| よくある誤解 | 実際のリスク |
|---|---|
| NASにバックアップを取っている | NASが同一ネットワーク上にあればランサムウェアに感染・暗号化される |
| クラウドに同期している | リアルタイム同期の場合、暗号化されたファイルも即座に上書き同期される |
| 昨日のバックアップがある | 同じネットワークに接続されていれば攻撃者に削除・暗号化される |
| RAID構成で冗長化している | RAIDはハードウェア障害への対策であり、ランサムウェアには無意味 |
4. 医療機関が狙われる理由
2021年の徳島県つるぎ町立半田病院、2022年の大阪急性期・総合医療センターに続き、今回の岡山県精神科医療センターと、国内の医療機関へのランサムウェア攻撃は後を絶ちません。なぜ医療機関が繰り返し標的にされるのか、構造的な理由があります。
- 24時間稼働の必然性:システム停止が直接患者の生命に関わるため、「支払って早期復旧する」動機が他業種より強い
- 古いシステムの温存:医療機器・電子カルテは更新コストが高く、脆弱性のある旧バージョンが長期間稼働し続けやすい
- セキュリティ人材の不足:専任のIT担当者を置けない中小病院・クリニックが多く、パッチ管理が属人化・放置されやすい
- 高価値データの保有:病名・処方歴・精神科記録などの要配慮個人情報はダークウェブで高額取引される
- 過去の教訓が横展開されない:今回の報告書も「他院の事例が生かされなかった」と明記している
5. 中小企業・中小クリニックへの影響
今回の被害を起こした直接的な原因は「大病院ならではの複雑なシステム」ではありません。6年間パッチを当てていないVPN装置と「P@ssw0rd」レベルのパスワードの使い回しという、どんな組織でも起こり得る基本的な管理不備です。
クリニックや中小企業が導入している電子カルテ・会計システム・業務サーバーも、同じ侵入経路で狙われます。バックアップが同一ネットワーク上に置かれていれば、復旧には数週間〜数ヶ月を要し、その間の業務停止・顧客への説明・復旧費用が経営を直撃します。
医療情報以外でも、顧客データ・請求書・契約書・人事情報が暗号化されれば、事業継続は実質的に不可能になります。
6. 今日から実施すべきバックアップ設計と対策
① 3-2-1 バックアップルールの実装
バックアップの基本原則として「3-2-1ルール」があります。データを最低3コピー、2種類の異なる媒体に、1コピーはオフサイト(別場所)に保管するというものです。ランサムウェア対策としてはこれに加えて「1コピーはオフライン」を徹底することが必須です。
- 外付けHDDによるオフラインバックアップを週1回取得し、取得後は必ずケーブルを抜いてネットワークから切り離す
- クラウドバックアップはリアルタイム同期ではなく、バージョン履歴機能(世代管理)があるサービスを選ぶ(Microsoft 365のバージョン履歴、Backblaze B2等)
- バックアップからの復元テストを半年に1度実施し、「復元できること」を確認する(取るだけで終わりにしない)
- バックアップ用アカウントを通常業務アカウントと分離し、管理者権限を与えない
② VPN・リモートアクセスの見直し
- VPN装置・UTMのファームウェアを現在のバージョンと照合し、最新版に更新する(製品サポートページで確認)
- 管理者パスワードを16文字以上のランダム文字列に変更し、全システムで異なるパスワードを設定する
- VPNや管理コンソールに多要素認証(MFA)を有効にする
- 「administrator」「admin」「root」などのデフォルトIDは必ず変更する
- RDPが不要であればファイアウォールでポート3389を閉じる
③ 権限管理とネットワーク分離
- 一般業務アカウントに管理者権限を与えない(今回の事件ではすべての端末に管理者権限が付与されていた)
- 電子カルテ・会計システムなどの業務系ネットワークをインターネット接続用のネットワークと分離する
- バックアップ用ストレージは業務ネットワークとは別のVLANまたはスタンドアロン構成にする
④ インシデント発生時のBCP(業務継続計画)策定
- ランサムウェア感染時の初動対応手順書を作成し、担当者に周知する(ネットワーク遮断の判断基準・連絡先等)
- 電子カルテが使えない場合の紙運用フローを事前に準備し、定期的に訓練する
- サイバー保険への加入を検討する(復旧費用・第三者調査費用・法的費用の補填)
- 重要データの所在・バックアップ状況を記録した「データ管理台帳」を作成・更新する
まとめ
岡山県精神科医療センターの事件は、最新のゼロデイ脆弱性や高度な攻撃技術によるものではありませんでした。「古いVPN装置」「推測容易なパスワード」「ネットワーク接続されたバックアップ」という三つの管理不備が重なった結果です。
今日できる最も重要な対策は一つ、オフラインバックアップを取り、ケーブルを抜くことです。これだけで復旧可能性は大きく変わります。次に、VPN装置のパッチ状況とパスワードを確認してください。この二点を今週中に実施するだけで、ランサムウェア被害による長期停止リスクを大幅に低減できます。
参考情報
- 岡山県精神科医療センター「ランサムウェア事案調査報告書」(2025年2月13日)
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
- IPA「情報セキュリティ10大脅威2025」(ランサムウェアによる被害 1位)
- 警察庁サイバー局「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」
- トレンドマイクロ「岡山県精神科医療センターのランサムウェア報告書を読み解く」(2025年3月)
