こんにちは、札幌のかかりつけ医＆在宅医＆病棟医＠今井です。

２月１７日に岡山県精神医療センターさんからある資料が公開されました。こちらのサイトです。

地方独立行政法人　岡山県精神科医療センター　ランサムウェア事案調査報告書について

令和6年５月19日に岡山県精神科医療センターがサイバー攻撃を受けたその経過と原因検索、今後の対策として何をすべきかまでがまとまっている非常にいい資料が公開されています。

６２Ｐとやや長めで専門用語も多いですが、それでも医療者、特に医療機関経営者にとっては必読の資料と思われました。是非是非お時間とって一読してみてください。では以下どうぞ↓

ランサムウェア事案調査報告書（地方独立行政法人 岡山県精神科医療センター）

ちょっと長くなりますが部分的に今井が気になったところ抜き出します。（特に気になった部分は赤文字にしています。時間ない人用に、そこだけ読めばある程度理解できるようにしておきますね!(^^)!）

1 はじめに ランサムウェア事案に対応して

2024 年 5 月 19 日の日曜日に、当病院の電子カルテを含めた病院情報システムがサイバー攻撃を受け、本院と東古松サンクト診療所の電子カルテが完全に機能停止しました。さらに 6 月に入って一部の個人情報の流出が発覚するという、起こってはならない事態を招いてしまいました。あらためて、患者の皆様、ご家族、関係の方々に多大なご心配、ご迷惑をおかけしたこと、深くお詫び申し上げます。
5 月 19 日は夕方 16 時頃にカルテの不調が感知され、病院のシステム担当者がすみやかに対応し、ベンダーもリモートおよび来院で復旧にあたりました。しかし仮想基盤の重篤な障害が発生しているため復旧ができないことが明らかとなり、翌午前 6 時頃にはランサムウェアの攻撃による障害であることが確認されました。
翌朝、関係機関に連絡するとともに災害対策本部を立ち上げ、月曜の診療は急遽紙カルテを運用して継続することにしました。以来 1 日も診療を止めずに来られたことは、何より患者の皆様をはじめ多くの方々のご理解とご協力のおかげであり、また全職員の奮闘の結果であったと本当に感謝しています。
現在当院の電子カルテは、信頼できる専門家の指導を頂いて、現時点で最も安全な形で復旧・運用しています。それだけでなく、今後にわたって再び被害を受けることのないように、一層強く柔軟なシステムを構築するべく、電子カルテベンダーを含めた一同で心血を注いでいます。
ランサムウェアによる攻撃を受けた病院は、国内で報告されているものでは当院が 15 病院目でした。精神科病院としては初の報告例になります。公表されていない事例もあるかもしれませんが、この数は今後さらに増えていっても不思議ではないでしょう。病院以外の企業や団体を含めると、事例数は 2024 年になって更に増え続けており、AI を使った攻撃も日常的なものとなっていると聞きます。ある調査では、世界中で2024 年第一四半期に発生したサイバー攻撃は 2 億件にも上り、年間被害額は 1000 兆円を優に超えるという試算もあります。いまやサイバー攻撃は一種パンデミックのような様相を呈しており、私たちにきわめて身近なものであることを実感した次第です。
実は前年の暮れ頃から 5 月にかけての間に数回、AD サーバーの不調が発生したことがありました。いずれもサーバーの再起動により速やかに復旧できたこともあり、当時は外部からの攻撃を感知するような兆候も見てとれませんでした。当時、執拗に調査を依頼しておけば良かったのではないかという反省に加えて、何度かの軽微な不調と復旧が繰り返されたことから、「オオカミ少年」に慣れた村人のような正常性バイアスを持ってしまったことも悔やまれます。
病院の情報は重大な個人情報が多く、また広範囲に被害を及ぼす可能性があります。今回のような苦渋を経験される病院が今後現れないようにするためにも、私たちの経験を広く知っていただいて、できるだけ多くの病院の皆様に早く対策をして頂くことが何よりも重要です。あろうことか、私たちは過去の事例に十分学んでいませんでした。過去の、大阪急性期・総合医療センターや徳島県つるぎ町立半田病院からは、有識者会議等による報告書が公開されており、誰でも見ることができます。当院の担当者もその資料を読んでいましたが、経験のない者にはシステム担当者や電子カルテベンダーといえど理解が容易ではなく、対策がつい遅れがちになっていたことは事実です。

この度、医療情報セキュリティの第一人者であり、当院の事案について一から十までを把握している一般社団法人ソフトウェア協会の専門家による調査委員会に事案調査を依頼し、この報告書を頂きました。本報告書の目的は、ひとえに今後の対策にとって重要な情報をできるだけ正確に提供することであり、そのための最も正確かつ有意義な報告が期待できると考えたからです。本報告書は何かを争うといったことを目的にはしていませんが、一切の忖度なしで事実と責任の所在を明確にし、今後の警鐘とすることをお願いしています。そのことは本報告書にかかれた厳しい指摘の数々をお読み下さればご理解いただけると思います。厳正に調査をして頂いた、調査委員会にあらためて感謝申し上げます。
サイバーセキュリティ対策は、それ自体直接に診療実績等を生むわけでもなく、またシステム情報系の人材も不足しているため、後手後手になりがちかと思います。昨今の急激な経済変動も加わり、医療機関はどこも厳しい経営状況にあります。サイバーセキュリティに十分な人や資金を投入できる体力を持つ病院は非常に少数派であると思われます。
しかし私どものように、過去の事例の報告が世に出ていながら対策が遅れていたということが繰り返されてはなりません。セキュリティを高めるためにあたっては、シンプルな設定や OS 標準機能の活用で安価にできる事柄も多く、本報告書にはそうした具体的な対策の数々も記載されています。皆様が本報告書を参考にされて、有効な対策を打たれることを願っております

・

・

5.1 インシデント概要

2024 年 5 月 19 日 16:00 頃、病院の電子カルテが使用できなくなり、同日より電子カルテベンダーである A 社が調査を開始、翌 20 日 6:15 頃、バックアップファイルから不審な拡張子のファイルを発見、ランサムウェアに感染しプログラム及びデーターが暗号化されていることが確認された。直ちに病院ネットワークの停止を行い、厚生労働省、岡山県、岡山市、岡山県警察本部に報告、紙カルテ運用への切り替えを開始した。同日 16:00 には、病院ホームページへの掲載、プレスリリースを通じて、サイバー攻撃をうけ電子カルテが停止していることを県民にむけて公表し、入通院患者には紙面や口頭で説明を開始した。翌 21 日15:30 にはランサムウェアとみられるサーバー攻撃であることを続報として公表した。また、病院としては、身代金の支払い、攻撃犯 X との連絡、交渉は一切行わず、自力で復旧する方針を固め、専門家の助言を仰ぎつつ A 社を中心とした復旧を目指すこととした。

・

・

侵入の原因は複数が考えられるが、保守用 VPN 装置の脆弱性の放置、推測可能な ID/パスワードの使用が考えられ、水平展開及び暗号化の原因は、推測可能な ID/パスワードが使いまわされ、病院内のコンピューターにすべて共通に設定されていたことに加え、一般ユーザーにも管理者権限を付与していたことによるウイルス対策ソフトの設定変更、停止と考えられる。また、保守用 VPN 装置への接続元 IP アドレス制限がなく、インターネット上から誰でも攻撃が可能であった。多くは、厚労省ガイドライン4の遵守で容易に防げたものである。本件事案の原因は、病院及び電子カルテシステムを構築した A 社の同ガイドラインの理解不足、過去のインシデント事例の軽視、「閉域網過信」によるセキュリティ意識の欠如に起因するものである。
攻撃発生から約 3 ヵ月で電子カルテシステム等は完全復旧し、2024 年 12 月時点で、ランサムウェアを含むサイバー攻撃抑止のための高水準の技術的な強化対策の適用をほぼ完了した。2025 年 1 月以降、組織的対策、人的対策を実施し、医療 DX 化に向けたサイバーセキュリティと病院経営の戦略的統合による要配慮個人情報のさらなる保護を図る予定である

・

・

5.2 復旧経緯

インシデントが発覚した 5 月 20 日以降、病院は対策本部を設置し、病院主要メンバー数十人で医療継続のための定例会議を、当初は 1 日 3 回実施、6 月 8 日から 7 月 19 日までは 1 日 2 回実施した。また、システム復旧の進捗管理のため、理事長、院長、病院幹部、情報システム担当者と A 社との進捗連絡会議を 1 日2 回開催し、7 月 20 日から 11 月末までは 1 日 1 回、12 月以降は週に 1 回、現在に至るまで継続している。
病院と A 社はオフライン・バックアップの取得に関する契約を締結済みであったが、インシデント発生直後にオフライン・バックアップを確認したところ、オフライン・バックアップが正しく取得されておらず、オフライン・バックアップからの復旧は不可能であることが判明した。そのため、暗号化を免れた医療情報DWH サーバーから、電子カルテのデーターを取り出し復旧することとし、5 月 21 日に仮復旧用の中古サーバーを手配、5 月 24 日から DWH からデーターを取り出し、6 月 1 日に中古サーバーで電子カルテシステム の仮復旧を行った。その後、6 月 20 日に電子カルテ用新サーバーを入手し、７月 4 日に電子カルテを復旧した。8 月 17 日にサーバーストレージの入れ替えを行い、インシデント発生から 90 日を経て病院情報システムの完全復旧を果たした。
病院内のすべてのサーバー、端末は閉域網であることから、Windows Update 等の脆弱性対策が一切行われていなかった。また、すべての一般ユーザーに管理者権限が付与されていた。このため、脆弱性の悪用
や、管理者権限によるウイルス対策ソフトの停止によるウイルスの残留やバックドアの設置が疑われたため、基本的にすべてのコンピューターは完全な初期化、もしくは新品との入れ替えを行った。
病院側の試算では、A 社を含めた復旧工数としてシステム再構築、データー入力、スキャナー取り込み等で約 65 人月の工数がかかったとされている。

・

・

5.5.3 過去事例との共通点

本件事案の原因は、管理者パスワードの使いまわし、サーバー・端末ユーザーへの管理者権限の付与、これによるウイルス対策ソフトの停止という点で、徳島県つるぎ町立半田病院、大阪急性期・総合医療センターで発生したランサムウェア事案とまったく同じである。

少なくとも、過去の国内の病院へのランサムウェア攻撃においては、決して高度な攻撃がなされた訳ではなく、脆弱性の放置と管理者権限の付与がされた「ランサムウェア攻撃に弱いシステム」が攻撃されたに過ぎない。病院に限らず、上記の脆弱性を有する組織であれば、同様のランサムウェア被害にあうことに留意すべきであり、VPN 装置の脆弱性管理、VPN 装置の ID、パスワードの見直し、サーバー・端末ユーザーに対する管理者権限の付与の取りやめ、サーバー、端末の管理者の ID、パスワードの使いまわしの停止を、至急、実施すべきである。

・

・

5.8.1 技術的対策

・

・

ベンダーのセキュリティポリシーについて

今回のヒヤリングを通じて、電子カルテベンダー、部門システムベンダー、医療機器ベンダーが、医療情報システムは「閉域網」であるからウイルスに感染しない、「閉域網」であるから脆弱性を放置しても大丈夫という意識を未だに持ち続けていることを確認した。インターネットから攻撃可能な VPN 装置が病院内に存在しても病院情報システムは「閉域網」であるという前提を固持し、脆弱性対策やセキュリティ設定は実施しないという考え方である。あくまで、自社製品の正常稼働を妨げないような独自のポリシーを適用し、納品、運用がなされている。
これは、発注者たる病院側に第一義的な責任があり、本来、厚生労働省ガイドラインや、病院が求めるセキュリティポリシーを提示し、それに見合う製品、システムを導入すべきである。その意味で、ベンダーにセキュリティポリシーや脆弱性管理を丸投げしている病院の責任は非常に重いといわざるを得ない。
一方で、ベンダー側もコロナ禍以降、リモート保守による省力化のために VPN 装置を病院に設置してきたという経緯がある。そもそも、VPN 装置が存在しなければ、「閉域網」に穴は開いておらず、病院におけるランサムウェア事象は発生しなかったはずである。その意味で、「閉域網に穴を開ける」VPN 装置に関しては、主たる利用者であるベンダーが、率先して病院とセキュリティ対策について協議を行うべきであった。
その上で、いずれかの責任において VPN 装置の脆弱性管理を明確化し、その責任を果たすべきであったといえる。
徳島県つるぎ町立半田病院、大阪急性期・総合医療センターにおいて、まったく同様の指摘があったにも関わらず、同様の事案が発生した。未だに、全国の多くの病院やベンダーにおいて「閉域網に穴をあける」VPN 装置の脆弱性管理の重要性が認識されておらず、また、その対策がなされていない可能性が高いことを指摘したい。

・

・

ということで大体どんな感じか概要はつかめたでしょうか？8.3では【病院、電子カルテベンダー、機器ベンダーの課題整理　本項は、昨今のサイバー攻撃に伴う、病院とベンダーの関係や契約上の問題を再整理した】とあり、この項目も全て取り上げて確認したいのですがかなり長いので割愛します。医療機関経営者は是非読んでおいてくださいね。

ということで資料を一通り読ませて頂きました。大事なことは

①組織としてＩＴセキュリティへの意識を高めること＆スタッフ一人一人にもそれを徹底させること

②その対策を外部に丸投げせずに自助努力を継続すること

かなと思いましたが、正直医療現場でこれに取り組むのは超絶ハードルが高いです。一番は

余力がない

これに尽きます。これだけサイバーセキュリティに意識が高い当法人でもそこまで徹底できているか？と聞かれれば・・・正直その人的コストやオペレーションのためのコストが膨大で、本業を圧迫してしまうためできていません。取り組みたいと思っても取り組む余力がないのが実情です。

他山の石とすべきなんでしょうが、少し自分なりに考えてみたいと思います。皆さんの組織、サイバーセキュリティへの取り組みどうされていますか？？？

時間ある方は以下の項目をチェック！！

法人のこれまでのこと、これからのことを確認したい人はこちら↓

【２０２５年版】これまでの法人の歩みについて、そしてこれから目指している未来について

法人の在宅医療やかかりつけ医、入院医療について知りたい方はこちら↓

【２０２５年版】当法人が取り組む在宅医療とかかりつけ医としての外来医療、そして入院医療について

在宅クリニックがなぜ病床運営をするのか、興味ある方はこちら↓

【２０２５年版】在宅医療機関が有床診療所/病院を運営する意義とは？

同じくなぜ在宅クリニックが訪問看護ステーション/居宅介護支援事業所をもっているのか、気になる人はこちら↓

【２０２５年度版】訪問看護ステーション、居宅介護支援事業所を自前で持つ意味は？

在宅医募集しています。是非確認の上ご連絡ください↓

【２０２５年度版】在宅医療や総合診療に興味のある医師を募集しています。

外来や病棟看護師、訪問看護師を募集しています。是非チェックを！↓

【２０２５年度版】訪問看護、地域密着型の医療に興味のある看護師を募集しています。

医療事務さん募集しています。一緒にチームの一員として働きませんか？

【２０２５年度版】医療事務を募集しています。

MSW、ケアマネさんも募集中です。是非見学にきてください↓

【２０２５年度版】MSW、ケアマネージャーを募集しています。

リハセラピストさんも募集しています。是非ご連絡を！↓

【２０２５年度版】訪問リハビリのセラピストさん１名募集しています。

病院経営や事務長職に興味ある人募集しています。経営一緒にしませんか？↓

【２０２５年度版】法人運営職員、事務長候補を募集しています。

人事担当、SEさん募集しています。これから組織を大きく、価値のあるものにする手伝い、してくれませんか？

【２０２５年度版】人事担当者、SE、広報担当者を募集しています。