Written by WizLANSCOPE編集部
目 次
ランサムウェア攻撃による被害は近年深刻化しており、企業・自治体に加え、医療機関が標的とされるケースも増えています。
ひとたび医療機関がランサムウェア攻撃を受けると、電子カルテや検査システムなどの情報システムが利用できなくなり、診療や救急受け入れに大きな影響が及ぶ可能性があります。実際、復旧までに長期間を要した事例も報告されています。
患者の生命や健康を支える医療機関にとって、サイバーセキュリティ対策は単なるIT課題ではなく、医療提供体制を維持するための重要な経営課題といえるでしょう。
本記事では、病院がランサムウェア攻撃の標的になりやすい理由をはじめ、国内の被害事例や医療機関が実施すべき対策についてわかりやすく解説します。
▼本記事でわかること
- 病院がランサムウェアに狙われる理由
- 国内の医療機関で発生した被害事例
- 病院が取り組むべきランサムウェア対策
病院のセキュリティ体制強化を検討している情報システム部門やセキュリティ担当者の方は、ぜひ参考にしてください。
【完全保存版】ランサムウェア被害を防ぐ!
感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
ランサムウェアとは
ランサムウェアとは、コンピューターやサーバー内のデータを暗号化したり、システムをロックしたりして利用できない状態にし、その復旧と引き換えに身代金を要求するマルウェアの一種です。
近年のランサムウェア攻撃は、単にデータを暗号化するにとどまらず、「身代金を支払わなければ情報を公開する」とさらに脅迫する「二重脅迫」の手口を用いるケースが増えています。
さらに、ネットワークに侵入した後にバックアップデータを暗号化・削除し、復旧手段そのものを奪うケースも報告されています。
このようにランサムウェア攻撃は年々高度化・巧妙化しており、十分な対策を講じていた企業・組織であっても、長期間にわたる業務停止やサービス停止に追い込まれる事例が相次いでいます。
ランサムウェアによる被害は、事業継続への影響や復旧コストの発生だけでなく、情報漏洩による社会的信用の失墜や損害賠償など、多方面に及びます。
特に医療機関が被害を受けた場合、電子カルテや医療情報システムが利用できなくなり、診療や検査、救急患者の受け入れに支障をきたす可能性があります。
医療提供体制に深刻な影響を及ぼすことから、ランサムウェアは患者の安全にも関わる重要なリスクとして認識されています。
業種や組織の規模を問わず、どの企業・組織もランサムウェア攻撃の標的となる可能性はあります。
被害を防ぐためには、最新の脅威動向を把握するとともに、継続的にセキュリティ対策を見直していくことが重要です。
病院がランサムウェア攻撃の標的になりやすい理由
病院をはじめとする医療機関は、ランサムウェア攻撃の標的になりやすいとされています。
その主な理由としては、以下の点が挙げられます。
- 価値の高い情報を多数保有している
- セキュリティ対策に十分なリソースを割きにくい
- 更新が難しいシステムや機器が多い
- 業務停止による影響が大きい
詳しく確認していきましょう。
価値の高い情報を多数保有している
医療機関は、氏名や住所、生年月日、電話番号といった基本的な個人情報に加え、診療情報や既往歴、検査結果、投薬履歴、保険情報など、機微な情報を日常的に取り扱っています。
これらの情報は不正利用のリスクが高く、サイバー犯罪者にとって価値の高い情報とみなされています。
そのため、医療機関は攻撃対象として狙われやすい傾向があります。
セキュリティ対策に十分なリソースを割きにくい
医療機関では、患者への診療や医療サービスの提供が最優先となります。
そのため、人的・予算的な制約から、セキュリティ対策に十分なリソースを確保することが難しいケースがあります。
特に中小規模の医療機関では、情報システムやセキュリティを専門に担当する人材が不足している場合も少なくありません。
攻撃者はこうした状況を把握しており、防御が比較的弱いと判断した組織を標的にする傾向があります。
更新が難しいシステム・機器が多い
医療機関では、電子カルテシステムや医療機器など、長期間にわたって運用されるシステムが数多く利用されています。
これらのシステムは高額であることに加え、認証や運用上の制約から、頻繁な更新や入れ替えが難しい場合があります。
また、24時間365日の安定稼働が求められるため、システム停止を伴うアップデートやメンテナンスを実施しにくいケースもあります。
その結果、既知の脆弱性への対応が遅れ、攻撃者に狙われるリスクが高まる可能性があります。
業務停止による影響が大きい
医療機関で電子カルテや医療情報システムが利用できなくなると、診療や検査、救急患者の受け入れなどに大きな支障が生じる可能性があります。
患者の生命や健康に関わる業務を担う医療機関では、システム停止による影響が極めて大きいため、攻撃者は早期の復旧を求める組織として標的にする傾向があります。
しかし、身代金を支払ったとしてもデータの復旧や情報の非公開が保証されるわけではありません。また、追加の金銭を要求されたり、再び攻撃の標的になったりするリスクもあります。
そのため、ランサムウェア被害を受けた場合は、関係機関や専門家と連携しながら適切に対応するとともに、平時からバックアップやインシデント対応体制を整備しておくことが重要です。
ランサムウェア攻撃で医療機関に想定される被害リスク
医療機関でランサムウェア攻撃が発生すると、主に以下のような被害リスクが想定されます。
- 医療行為が停止するリスク
- 個人情報・医療情報の漏洩リスク
- 復旧に高額な費用がかかるリスク
- 従業員への負担増加リスク
- レピュテーションリスク
詳しく確認していきましょう。
医療行為が停止するリスク
ランサムウェア攻撃によってシステムがロックされると、電子カルテや検査システム、画像診断システムなどが利用できなくなり、診療が大きく制限されます。
また、予約管理や投薬管理にも支障が生じ、診療の遅延や中断は避けられません。
特に緊急対応が必要な現場では、適切な判断や処置が遅れる可能性があり、最悪の場合、患者の生命に重大な影響を及ぼすリスクがあります。
個人情報・医療情報の漏洩リスク
前述のとおり、近年のランサムウェア攻撃では、データの暗号化に加え、窃取した情報の公開をちらつかせて金銭を要求する「二重脅迫」の手口が広く用いられています。
攻撃者はデータの暗号化を実行する前に、患者の個人情報や医療情報などの重要な情報を外部へ持ち出しているケースも少なくありません。
実際に、窃取した情報の一部がリークサイトに掲載された事例も報告されています。
医療情報は機微性が極めて高いため、漏洩した場合の影響は大きく、患者のプライバシー侵害だけでなく、社会的信用の低下や法的責任の発生にもつながりかねません。
復旧に高額な費用がかかるリスク
システム復旧には、専門ベンダーへの対応依頼やフォレンジック調査、システムの再構築など、多額の費用が発生します。
さらに、診療制限や業務停止による経営への影響に加え、個人情報漏洩が発生した場合の患者への通知、問い合わせ窓口の設置費用、再発防止策の実施費用なども発生する可能性があります。
このように、ランサムウェア被害から元の運用環境へ復旧するまでには、甚大なコストがかかることが想定されます。
従業員への負担増加リスク
電子カルテや予約システムなどが停止した場合、診療を継続するために紙カルテへの切り替えや手作業による運用を余儀なくされます。
通常デジタルで管理していた業務をアナログで運用することになるため、業務効率の低下は避けられず、残業や緊急対応の増加につながります。
長時間勤務とイレギュラー対応が重なることで、従業員の身体的・精神的負担はさらに大きくなります。
その結果、確認ミスや伝達ミスが発生しやすくなり、医療安全にも影響を及ぼすおそれがあります。
レピュテーションリスク
レピュテーションリスクとは、組織に対するネガティブな評価や評判が広まることで、信用やブランド価値が低下し、事業活動に悪影響を及ぼすリスクのことです。
ランサムウェア攻撃によって個人情報の漏洩などが発生した場合、被害者である医療機関であっても、「情報漏洩が発生した組織」として認識され、患者や地域社会からの信頼が低下する可能性があります。
特に医療機関は信頼を基盤として成り立つ組織であるため、一度失われた信頼を回復するには長い時間を要することも少なくありません。
また、報道やSNSを通じて被害情報が拡散されることで、患者や地域社会からの信頼低下、新規患者の減少、取引先との関係悪化などにつながる恐れがあります。
病院におけるランサムウェア攻撃の被害事例
日本国内においても、医療機関を標的としたランサムウェア攻撃が相次いで発生しています。
ランサムウェア攻撃は、電子カルテや院内システムの停止による診療への影響だけでなく、個人情報の漏洩や多額の復旧費用の発生など、医療機関に深刻な被害をもたらします。
ここでは、国内の医療機関で発生した主なランサムウェア被害事例を紹介します。
2026年3月 静岡県の病院
2026年3月、静岡県の病院がランサムウェア攻撃を受け、電子カルテをはじめとする院内システムが閲覧不能となる障害が発生しました。
当該病院は、厚生労働省初動対応チームの支援を受けながら調査を実施し、その結果、患者や家族、関係者の個人情報が漏洩したことが判明しています。
また、攻撃者グループのリークサイト上に情報が公開された可能性も確認されており、現在は被害範囲の特定や再発防止に向けた対応が進められています。
2026年2月 神奈川県の病院
2026年2月、神奈川県の病院がランサムウェア攻撃を受け、院内システムの一部に障害が発生したことに加え、患者や職員の個人情報が漏洩したことを公表しました。
調査の結果、侵入経路は医療機器保守用VPN装置であったことが判明しています。
攻撃者はこのVPN装置を悪用して院内ネットワークへ侵入し、ナースコールシステムのサーバー内に保存されていた情報を窃取したとされています。
その後の調査により、約13万人分の患者情報に加え、約1,700人分の職員および実習生などの個人情報が漏洩したことが確認されました。
また、本事例ではナースコールシステムに障害が発生し、患者対応に直結する設備へ影響が及びました。
当該病院は再発防止策として、医療情報安全管理に関するガバナンス体制の強化や、VPN装置を含む情報システム全体の継続的な点検・管理を実施するとしています。
2025年2月 栃木県の事例
2025年2月、栃木県の病院がランサムウェア攻撃を受け、院内システムが使用できない状態となりました。
攻撃を受けたサーバーには、最大約30万人分の個人情報が記録されており、氏名、生年月日、住所、電話番号のほか、診療情報や健康診断に関する情報などが含まれていました。
また、これらの情報が漏洩した可能性があることも公表されています。
当該病院は、個人情報保護委員会や厚生労働省、警察などの関係機関へ報告・相談を行うとともに、外部調査機関の協力を受けながら、原因究明と再発防止に向けた対応を進めています。
2022年10月 大阪府の事例
2022年10月、大阪府の医療機関がランサムウェア攻撃を受け、長期間にわたって診療が制限される深刻な被害が発生しました。
調査の結果、攻撃者は病院と取引のあった給食事業者が利用するVPN機器の脆弱性を悪用して侵入したことが判明しています。
攻撃者は委託先から窃取した認証情報を利用して病院のネットワークへ侵入し、基幹システムサーバーの大部分を暗号化しました。
この影響により、電子カルテをはじめとする基幹システムが利用できなくなり、診療制限は約2か月に及びました。
本事例は、医療機関自身のセキュリティ対策だけでなく、委託先や取引先を含めたサプライチェーン全体のセキュリティ管理の重要性を示した代表的な事例といえるでしょう。
2021年10月 徳島県の事例
2021年10月、徳島県の病院がランサムウェア攻撃を受け、電子カルテをはじめとする院内システムが利用できなくなり、診療に大きな影響が生じました。
本事案では、院内に設置されていた複数台のプリンターから、誰も操作していないにもかかわらず犯行声明が一斉に印刷されたことで、異常が発覚しました。
調査の結果、攻撃者はVPN機器の脆弱性を悪用して院内ネットワークへ侵入し、電子カルテ関連システムやサーバーのデータを暗号化したことが判明しています。
病院は感染拡大を防ぐためにネットワークの遮断やシステム停止などの対応を実施しましたが、その影響で救急患者や新規患者の受け入れを中止し、一部手術の延期を余儀なくされました。
病院機能は事実上停止状態となり、地域医療にも大きな影響を及ぼしました。
また、全13診療科で通常診療を全面再開するまでには約2か月を要しており、ランサムウェア攻撃が医療提供体制に深刻な影響を及ぼすことを示した代表的な事例といえます。
医療分野におけるサイバーセキュリティ対策の重要性とは
医療機関におけるサイバーセキュリティ対策は、単なる情報システムの保護にとどまりません。
電子カルテや検査システム、医療機器などがサイバー攻撃によって利用できなくなると、診療や検査、救急患者の受け入れなどに支障が生じ、医療提供体制そのものに影響を及ぼす可能性があります。
前章でも確認した通り、実際にランサムウェア攻撃によって電子カルテが利用できなくなり、長期間にわたって診療が制限された事例も発生しています。
このような事案を通じて、サイバーセキュリティは患者の安全と医療の継続性を支える重要な要素であることが広く認識されるようになりました。
こうした背景を踏まえ、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を公表しています。
本ガイドラインは、医療機関が取り扱う情報やシステムを安全に管理・運用するための基本的な考え方や対策を示したものであり、多くの医療機関にとって重要な指針となっています。
特に近年は、医療機関を狙ったサイバー攻撃の増加を受け、より実効性の高い対策が求められるようになりました。
そこで、従来の包括的な考え方に加え、医療機関が優先的に取り組むべき具体的な対策を示すため、「医療機関におけるサイバーセキュリティ対策チェックリスト」も公表されています。
チェック項目には、以下のような内容が含まれます。(一部抜粋)
| 体制構築 | ・医療情報システム安全管理責任者を設置しているか |
|---|---|
| 医療情報システムの管理・ 運用 | ・退職者や使用していないアカウント等、不要なアカウントを削除または無効化しているか | ・パスワードの使い回しを禁止しているか |
| インシデント発生に備えた対応 | ・サイバー攻撃を想定した事業継続計画(BCP)を策定しているか |
| 規程類の整備 | ・すべての項目について、具体的な実施方法を運用管理規程等に定めているか |
出典:厚生労働省|令和7年度版 医療機関におけるサイバーセキュリティ対策チェックリスト
医療機関における安全な情報管理と安定した医療提供を両立するためには、ガイドラインを踏まえ、継続的にセキュリティ対策を実行することが重要です。
サイバー攻撃の脅威が高まるなか、その重要性は今後さらに高まっていくことが予想されます。
病院が取り組むべきランサムウェア対策
医療機関におけるランサムウェア対策は、ツールやシステムの導入といった単一の技術対策だけでは十分ではなく、運用ルールの整備や従業員教育などの組織的対策を組み合わせて実施することが重要です。
ここでは、医療機関が優先的に取り組むべき基本のセキュリティ対策を紹介します。
| 区分 | 取り組み |
|---|---|
| 技術的対策 | バックアップ環境の構築 |
| 多要素認証の導入(MFA) | |
| ネットワーク分離 | |
| 権限管理 | |
| 脆弱性対策 | |
| 組織的対策 | 従業員教育 |
| 監視体制の構築 | |
| IT-BCPの策定 |
厚生労働省の「医療情報システムの安全管理に関するガイドライン」および「医療機関等におけるサイバーセキュリティ対策チェックリスト」では、経営層と現場の双方が関与しながら、実効性のある対策を継続的に実施することの重要性が示されています。
各対策について詳しく見ていきましょう。
バックアップ環境の構築
ランサムウェア対策の基本は、万が一被害を受けた場合でも、データやシステムを復旧できる体制を整えておくことです。
しかし近年のランサムウェア攻撃では、バックアップデータそのものが削除・暗号化されるケースも確認されています。
そのため、「3-2-1-1-0ルール」に基づいたバックアップ運用が推奨されています。
| 3 | 本番用データを含め、最低3つのコピーを保持する |
|---|---|
| 2 | 外付けHDDやクラウドストレージなど、2種類以上の異なるストレージメディアに保存する |
| 1 | 少なくとも1つはネットワークから切り離したオフライン環境で保管する |
| 1 | さらに1つは、改変・削除不可なイミュータブルか、ネットから切断されたエアギャップ状態で保管する | 0 | 定期的な復元テストなどを行い、バックアップが確実に復旧できる状態であることを確認する |
このように多層的なバックアップ環境を構築することで、機器故障や災害、ランサムウェアによるバックアップの破壊など、さまざまなリスクを低減できます。
また、バックアップを取得するだけでなく、定期的に復元テストを実施し、実際に復元に利用できるかを確認することも重要です。
多要素認証(MFA)の導入
外部からの不正アクセスを防ぐためには、リモートアクセスや管理者アカウントに多要素認証(MFA)を導入することが重要です。
多要素認証とは、本人確認を強化するために、「知識情報」「所持情報」「生体情報」のうち、2つ以上の要素を組み合わせるセキュリティ手法です。
| 知識情報 | ・パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | ・スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | ・指紋や静脈、顔、虹彩など、本人固有の身体情報 |
認証には2つ以上の要素が必要となるため、仮にパスワードが漏洩した場合でも、不正アクセスのリスクを大幅に低減できます。
特に近年は、VPN機器やリモートアクセス環境がランサムウェアの侵入経路として悪用されるケースも多く報告されています。
そのため、VPNやリモートアクセス環境には多要素認証を導入し、不正アクセス対策を強化することが重要です。
ネットワーク分離
院内ネットワークは用途ごとに分離し、万が一攻撃者の侵入やランサムウェア感染が発生した場合でも、被害が院内全体へ拡大しない構成にすることが推奨されます。
例えば、電子カルテ系ネットワーク、医療機器系ネットワーク、インターネット接続系ネットワークを分離することで、あるネットワークが侵害された場合でも、他のシステムへの横断的な感染拡大を防ぐことができます。
医療機関では多様なシステムや機器が接続されているため、被害を局所化するためのネットワーク分離は重要な対策のひとつです。
権限管理
医療情報システム(電子カルテなど)へのアクセス権限は、医療従事者の役割や業務内容に応じて、必要最小限に設定することが推奨されます。
医療機関には、医師、看護師、薬剤師、事務職員などさまざまな立場の職員が存在します。
しかし、必要以上に高い権限を付与してしまうと、万が一アカウントが乗っ取られた際に、攻撃者が重要な情報へアクセスしたり、システム全体へ被害を拡大させたりするリスクが高まります。
そのため、重要な情報やシステムへアクセスできる利用者は必要最小限に限定し、業務に応じた適切な権限管理を行うことが重要です。
こうした対策を講じることで、万が一不正アクセスが発生した場合でも、被害の拡大を抑えやすくなります。
脆弱性対策
前述の通り、医療機関では24時間365日の安定稼働が求められるシステムや医療機器が多く、システム停止を伴うアップデートやメンテナンスの実施が難しいという課題があります。
しかし、既知の脆弱性を放置した状態が続くと、攻撃者に悪用され、ランサムウェア感染や不正アクセスにつながるリスクが高まります。
そのため、OSやソフトウェア、ネットワーク機器、医療機器に関する脆弱性情報を継続的に収集し、迅速なパッチ適用やアップデートを実施する体制を整備することが重要です。
また、医療機器など運用上の理由から容易に更新できないシステムについては、前述の通りネットワーク分離やアクセス制御などの代替策を講じることで、リスクを低減することが求められます。
従業員教育
近年、ランサムウェアの主な侵入経路はVPN機器やリモートデスクトップなどを悪用したものが主流になりつつあります。
しかし、不審なメールの添付ファイルを開いたり、不正なリンクをクリックしたりすることで感染するケースも依然として発生しています。
そのため、職員のセキュリティ意識が低い場合、不審なメールを開封してしまい、ランサムウェア感染につながるリスクが高まります。
また、パスワードの使い回しやデフォルトパスワードの継続利用など、不適切なアカウント管理も被害拡大の原因となります。
特に院内のサーバーやネットワーク機器で同一のパスワードを使用している場合、1つのアカウントが侵害されることで、他のシステムへも不正アクセスされる恐れがあります。
こうしたリスクを低減するためには、どのような行動が感染や被害拡大につながるのかを定期的に教育し、職員一人ひとりのセキュリティ意識を高めることが重要です。
監視体制の構築
PCやサーバー、ネットワーク機器などのログを取得・監視し、不審な挙動を早期に検知できる体制を整備することも重要です。
ランサムウェア攻撃では、攻撃者が組織内へ侵入した後、複数のシステムへアクセス範囲を広げながら被害を拡大させるケース(水平展開)が少なくありません。
そのため、不審なログインや大量のデータアクセス、異常な通信などを早期に検知できれば、被害が拡大する前に対応できる可能性が高まります。
IT-BCPの策定
ランサムウェア攻撃やサイバー攻撃によるシステム停止を前提として、IT-BCP(IT事業継続計画)を策定することも重要です。
IT-BCPとは、サイバー攻撃や災害などの緊急事態が発生した際にも、重要なITシステムや業務を継続・早期復旧するための計画を指します。
医療機関では、電子カルテや検査システムなどが利用できなくなると、診療や患者対応に大きな影響が生じます。
そのため、紙カルテによる代替運用の手順やシステム復旧手順、関係者への連絡体制などをあらかじめ整理しておくことが重要です。
事前にIT-BCPを整備しておくことで、緊急時にも迅速な対応が可能となり、診療への影響や被害の最小化につながります。
実際に、厚生労働省のガイドラインやチェックリストでも、サイバー攻撃を想定したBCPの整備が求められています。
ランサムウェア感染時の対処法
ランサムウェア感染が疑われる場合、適切な初動対応を実施できるかどうかが、被害の拡大や復旧期間を大きく左右します。
特に感染発覚直後の対応は極めて重要であり、あらかじめ対応手順を定め、組織として迅速に行動できる体制を整えておく必要があります。
ここでは、ランサムウェア感染時に推奨される対処手順を6つに分けて解説します。
- 手順(1):ネットワークからの隔離
- 手順(2):関係各所への報告
- 手順(3):影響範囲の特定と被害状況の把握
- 手順(4):事業継続対応(BCPの活用)
- 手順(5):復旧対応
- 手順(6):再発防止・事後対応
詳しく確認していきましょう。
ネットワークからの隔離
ランサムウェアへの感染が疑われる場合、まずは感染した可能性のあるデバイスやサーバーをネットワークから切り離し、隔離することが重要です。
有線接続の場合はLANケーブルを抜き、無線接続の場合はWi-Fiを切断するなどして、他のデバイスやシステムへの感染拡大を防止します。
なお、感染が疑われる端末の電源を落としたり、再起動したりすることは避けるべきです。
再起動によってメモリ上に残っているログや攻撃の痕跡が失われる可能性があり、原因調査や被害範囲の特定が困難になる恐れがあります。
そのため、電源操作を行う前にネットワークから隔離し、必要な証拠を保全したうえで対応を進めることが重要です。
関係各所への報告
ランサムウェアの兆候が見られた場合は、個人で判断して対応することを避け、速やかに情報システム部門や責任者へ報告することが重要です。
報告を受けた担当部門は、速やかにインシデント対応体制を立ち上げ、被害拡大防止に向けた対応を進める必要があります。
また、必要に応じて外部のセキュリティベンダーや関係機関へ連絡し、専門的な支援を受けられる体制を整えましょう。
医療機関の場合は、経営層や医療安全管理部門とも連携し、診療への影響や患者対応を含めた組織全体での対応が求められます。
早い段階で関係者間の情報共有を行うことで、被害状況の把握や復旧方針の決定を円滑に進めることができます。
影響範囲の特定と被害状況の把握
感染デバイスの隔離と関係各所への報告を行った後は、どのデバイスやシステムが影響を受けているのか、どのデータが暗号化または窃取された可能性があるのかを迅速に把握することが重要です。
電子カルテや検査システム、医療機器など、診療に影響を及ぼすシステムが被害を受けていないかを確認するとともに、感染範囲や被害状況を整理します。
また、ログや画面表示、異常なファイルの状況などを記録し、証拠を保全しておくことも重要です。
これらの情報は、その後の原因調査や復旧方針の決定、再発防止策の検討に活用します。
事業継続対応(BCPの活用)
医療機関におけるシステム停止は、診療や患者対応に直接影響を及ぼすため、事前に策定したBCPに基づいて迅速に代替手段へ切り替えることが重要です。
例えば、電子カルテが利用できない場合は紙カルテによる運用へ移行したり、診療内容の優先順位を見直したりすることで、患者への影響を最小限に抑えることができます。
また、診療科ごとの対応方針や関係者への連絡体制などもBCPに沿って運用することで、混乱を抑えながら医療提供を継続しやすくなります。
復旧対応
被害状況を把握した後は、バックアップデータを用いた復旧や、専門ベンダーによるフォレンジック調査、システムの再構築などを進めます。
感染経路や影響範囲を十分に確認しないまま復旧を進めてしまうと、再感染につながる恐れがあるため注意が必要です。
なお、身代金を支払ったとしてもデータの復旧や情報の非公開が保証されるわけではありません。
そのため、安易に身代金要求に応じるのではなく、復旧可能性やリスクを総合的に判断することが重要です。
再発防止・事後対応
復旧後は、インシデントの原因を分析し、脆弱性の修正やセキュリティ対策の強化を進めます。
また、対応手順の見直しや従業員教育の強化、監視体制の改善などを実施し、同様の被害が再び発生しないよう再発防止策を講じることも重要です。
インシデント対応で得られた教訓を組織全体で共有し、継続的な改善につなげることで、より強固なセキュリティ体制の構築が期待できます。
ランサムウェア対策なら「LANSCOPE サイバープロテクション」
ここまで確認してきた通り、ランサムウェア対策ではバックアップ環境の構築や多要素認証の導入、脆弱性対策、従業員教育など、多層的な対策を継続的に実施することが重要です。
しかし、サイバー攻撃の手口は日々高度化しており、すべての攻撃を事前に防ぐことは容易ではありません。
特にランサムウェアをはじめとするマルウェアは次々と新たな亜種が生み出されており、従来のシグネチャ(パターンマッチング)型のアンチウイルスでは、未知の脅威を十分に検知できないケースも増えています。
そのため近年では、AI(人工知能)を活用して未知・亜種のマルウェアを高精度に検知するセキュリティ対策への注目が高まっています。
そこで本記事では、AIを活用して企業をセキュリティリスクから守る「LANSCOPE サイバープロテクション」のソリューションを紹介します。
- 世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」
- AIを活用した次世代型アンチウイルス「Deep Instinct」
それぞれのサービスの特徴を解説します。
世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」
「Aurora Managed Endpoint Defense」は、アンチウイルスとEDRを併用し、エンドポイントを内外から保護するセキュリティソリューションです。
例えば、「アンチウイルスとEDRを両方使いたい」「できるだけ安価に両機能を導入したい」「EDRの運用に不安がある」などのニーズをお持ちの企業の方には、エンドポイントセキュリティを支援する「Auroraシリーズ」の導入が最適です。
「Auroraシリーズ」では、以下の3つのサービスをお客様の予算や要望に応じて提供します。
- 最新のアンチウイルス「Aurora Protect」
- EDR「Aurora Focus」
- EDRを活用した監視サービス「Aurora Managed Endpoint Defense」
高精度なアンチウイルスとEDRの併用が可能となり、セキュリティの専門家が24時間365日体制で監視を行うことで、マルウェアから確実にエンドポイントを守ります。
アンチウイルスのみ、またはアンチウイルス+EDRのみの導入など、柔軟な対応も可能です。詳細は以下のページをご覧ください。
各種ファイルに対応した次世代型アンチウイルス「Deep Instinct」
「LANSCOPE サイバープロテクション」では、 AI(ディープラーニング)を活用した次世代ウイルス対策ソフト「Deep Instinct」を提供しています。
以下のニーズをお持ちの企業・組織の方は、AIのディープラーニング技術を活用し、未知のマルウェアを高い精度でブロックする、次世代型アンチウイルス「Deep Instinct」がおすすめです。
- 未知のマルウェアも検知したい
- 実行ファイル以外のファイル形式(Excel、PDF、zipなど)にも対応できる製品が必要
- 手頃な価格で高性能なアンチウイルスを導入したい
近年の攻撃者は、セキュリティ製品による検知を逃れるため、実行ファイルだけでなくExcelやPDF・zipなど、多様な形式のマルウェアを仕掛けてきます。
ファイル形式を問わず対処できる「Deep Instinct」であれば、多様な形式のマルウェアを形式に関係なく検知可能です。
サービスの詳細は、下記のページをご確認ください。
AIがネットワーク全体を監視するNDR「Darktrace」
医療機関では、電子カルテや医療機器など、セキュリティソフトやエージェントを導入することが難しいケースも少なくありません。
そのため、すべての端末をエンドポイント対策で保護することが難しく、ネットワーク全体を監視して脅威を検知する仕組みの重要性が高まっています。
そこで本記事では、AIを活用してネットワーク全体を監視し、不審な挙動や未知の脅威を検知・自動対処するAI型ネットワーク監視ソリューション「Darktrace」を紹介します。
Darktraceは、AIを活用してネットワーク上の通信を継続的に分析し、通常時の通信パターンを学習することで、通常とは異なる不審な挙動を検知するNDRです。
通信内容そのものではなく、「通常とは異なる振る舞い」に着目して脅威を検知するため、従来のシグネチャ型対策では発見が難しい未知の攻撃やランサムウェアによる異常な通信にも対応できます。
また、ネットワーク上の通信を監視する仕組みであるため、電子カルテ端末や医療機器など、エージェントの導入が難しい環境も含めて可視化できる点が特長です。
ランサムウェア対策においては、「侵入を防ぐ」「侵入後の異常を検知する」「被害拡大を防ぐ」という多層防御の考え方が重要です。
Darktraceは、ネットワーク全体の可視化と異常検知を通じて、医療機関のセキュリティ体制強化を支援します。
より詳細について知りたい方は、下記のページもあわせてご参照ください。
まとめ
本記事では、病院がランサムウェア攻撃の標的になりやすい理由や、被害事例、具体的な対策などを解説しました。
本記事のまとめ
- 病院がランサムウェア攻撃の標的になりやすい主な理由としては、「価値ある情報を多数保有している」「セキュリティ対策が手薄なケースが多い」「更新が難しいシステムが多い」「早期復旧を優先せざるを得ないと攻撃者に認識されやすい」などが挙げられる
- ランサムウェアに感染した場合、「医療行為の停止」「個人情報・医療情報の漏洩」「従業員への負担増加」「レピュテーションの低下」といった被害が懸念される
- 病院で行うべきランサムウェア対策としては、「多要素認証(MFA)の導入」や「脆弱性対策による入口対策の徹底」、被害の拡大を防ぐ「ネットワーク分離」「権限管理」、さらには迅速な復旧を可能にするための「バックアップ環境の構築」などが求められる
ランサムウェアによる被害は、業種や規模を問わず世界中で発生しています。
その中でも医療機関は、取り扱う情報の機微性やシステムの特性などから、特に標的となりやすい傾向があります。
万が一医療機関でランサムウェア被害が発生した場合、診療や患者対応に深刻な影響を及ぼす恐れがあるため、技術的対策と組織的対策を組み合わせた多層的なセキュリティ対策を継続的に実施することが求められます。
なお近年のランサムウェアは手口が高度化・巧妙化しているため、バックアップや権限管理、脆弱性対策に加え、未知・亜種のマルウェアにも対応できる高度なセキュリティソリューションの活用も有効です。
本記事で紹介した「LANSCOPE サイバープロテクション」は、AIを活用して未知・亜種のマルウェア対策を支援するソリューションです。
病院のセキュリティ体制をさらに強化したいとお考えの方は、ぜひ導入をご検討ください。
【完全保存版】ランサムウェア被害を防ぐ!
感染前後に行いたい32のアクションリスト
本資料では、ランサムウェアへの「感染を防ぐための予防策」から「感染後の初動対応」までをチェックリスト形式でまとめています。実践的な内容にしているため、緊急時対応の見直しにもぜひご活用ください。
おすすめ記事
