九州大学が公表した、ある不正アクセス事案。狙われたのは病院の中枢システムではなく、研究室にあったたった一台の端末でした。そこには患者43人の手術動画が保存されていたといいます。なぜ「弱い末端」が入口になったのか。そして画面に現れた「LockBit」という名前は、何を意味するのか。これは、規模の大小を問わずすべての組織に地続きの話です。
九州大学は2026年6月10日、学内研究室が管理する端末への不正アクセス事案を公表した。同大学によると、2026年5月25日に当該端末がサイバー攻撃による不正アクセスを受け、ランサムウェアに感染したとみられる。
端末には九州大学病院の患者43名の氏名と手術動画データが保存されており、不正アクセスにより外部へ流出した可能性を否定できないとしている。現時点で当該情報が外部に公開・悪用された事実は確認されていない。当該端末は不審な挙動の検知後にネットワークから遮断され、診療用ネットワークとは切り離されていたため、電子カルテなど診療用システムへの影響は確認されていない。
診療業務は通常通り実施されている。同大学は対象患者へ個別に連絡し、警察と連携して原因と影響を調査している。
From: 
本学研究室の端末への不正アクセスについてのご報告とお詫び | 九州大学
【編集部解説】
まず押さえておきたいのは、今回流出のおそれがあるのが「手術動画データ」だという点です。診断書やカルテの数値情報とは性質が異なり、映像は患者本人の身体や術野が記録された、極めてセンシティブな情報です。43名という人数の大小ではなく、情報の質が問われる事案だと、私は受け止めています。
公式発表が「ランサムウェアに感染したとみられる」とだけ記す一方、FBS福岡放送は、教員が研究室のパソコンを起動した際に「Lock Bit Black」という文字と脅迫文が表示されたと報じました。ここから攻撃の主が「LockBit(ロックビット)」系統である可能性が浮かびます。発表文には出てこない、報道側が拾った具体的な手がかりです。
このLockBitという名前には、補足が要ります。同グループは2024年2月、日本の警察庁も参加した国際捜査「クロノス作戦(Operation Cronos)」でインフラを摘発されました。にもかかわらず2026年の今、その名が画面に現れた——ここに今回の不気味さがあります。
考えられる背景のひとつが、2022年夏に流出したとされる「ビルダー(攻撃ツールの生成キット)」の存在です。本家が弱体化しても、流出したツールを使えば誰でも「LockBit風」の攻撃を仕立てられます。つまり、画面に出た名前が本家の犯行を意味するとは限らないのです。ブランドだけが一人歩きする、模倣の時代に入ったとも言えます。
影響範囲について、九大は当該端末が診療用ネットワークから切り離されていたため、電子カルテへの波及はないと説明しています。ここは評価できる点です。研究室の端末と病院基幹系が物理的・論理的に分離されていたからこそ、被害が一台に封じ込められた可能性が高い。「分けておく」という地味な設計が、最後の砦になった構図です。
一方で、見過ごせない論点もあります。患者の手術動画という臨床由来のデータが、なぜ研究室の端末に保存され得たのか。研究利用と個人情報保護の境界、そして持ち出しデータの管理ルールは、多くの大学・病院が抱える共通の弱点です。今回はその一般的な課題が表面化したケースとして捉えるべきでしょう。
規制の観点では、医療情報は個人情報保護法上の「要配慮個人情報」にあたり、漏えいのおそれが生じた場合、原則として個人情報保護委員会への報告と本人通知が求められます。九大が患者へ個別連絡を進めているのは、この枠組みに沿った動きと読み取れます。
長期的に見れば、これは「狙われたのが弱い末端だった」という、現代型攻撃の典型です。堅牢な基幹システムではなく、相対的に守りの薄い研究現場の一台が入口になりました。守る側は中枢だけでなく、組織の隅々にある端末まで視野を広げざるを得ません。次に同じ問いを突きつけられるのは、どの組織でもおかしくないのです。
【用語解説】
ランサムウェア
感染した端末やサーバー内のファイルを暗号化して使えなくし、復旧と引き換えに身代金(ransom)を要求する不正プログラムの総称である。近年は、暗号化に加えて窃取したデータの公開をちらつかせる「二重恐喝(ダブルエクストーション)」型が主流となっている。
不正アクセス
正規の権限を持たない者が、他人のIDやシステムの脆弱性などを悪用してコンピューターやネットワークへ侵入する行為。日本では不正アクセス禁止法で規制される。
LockBit(ロックビット)/LockBit Black
2019年ごろに「ABCD」の名で登場したランサムウェア攻撃グループ、およびそのマルウェア。2022年に登場した「LockBit 3.0」は別名「LockBit Black」と呼ばれ、暗号化の高速さと二重恐喝の手口で世界的に被害を広げた。
クロノス作戦(Operation Cronos)
2024年2月、日本の警察庁を含む各国法執行機関が連携して実施したLockBitの摘発作戦。攻撃インフラの差し押さえや関与者の起訴が行われたが、その後グループは活動再開を宣言した。
ビルダー
攻撃者がランサムウェアの実行ファイルを生成するためのツールキット。LockBitのビルダーは2022年夏に流出したとされ、本家とは無関係の第三者が「LockBit風」の攻撃を仕立てる温床になったと指摘されている。
電子カルテ/診療用ネットワーク
電子カルテは患者の診療情報を電子的に記録・管理するシステム。診療用ネットワークは、それらの基幹システムを稼働させる院内ネットワークを指す。今回の端末はこの診療用ネットワークから切り離されていた。
要配慮個人情報
人種、信条、病歴など、取り扱いに特に配慮を要する個人情報。個人情報保護法で定義され、医療情報も含まれる。漏えいのおそれが生じた場合、原則として個人情報保護委員会への報告と本人への通知が求められる。
【参考リンク】
九州大学病院(外部)
今回の患者情報が関係する大学病院の公式サイト。診療科一覧や外来・入院案内、交通アクセス、最新の各種お知らせを掲載している。
個人情報保護委員会(外部)
個人情報保護法を所管する国の行政機関。漏えい等の報告制度や、要配慮個人情報の取り扱いに関するガイドラインを公開している。
警察庁(外部)
サイバー攻撃の捜査や被害相談を担う国の機関。クロノス作戦にも参加し、ランサムウェア被害に関する注意喚起や統計も発信している。
【参考記事】
九大の研究室にランサム被害、病院患者43人の手術動画・氏名流出のおそれ(ITmedia NEWS)(外部)
九州大学の発表内容を整理した記事。5月25日の不正アクセスと、患者43人の氏名・手術動画が流出した可能性を否定できない点を伝えている。
【速報】九州大学にサイバー攻撃 患者43人の手術動画データが流出した可能性(FBS福岡放送)(外部)
発表内容に加え、教員が端末起動時に「Lock Bit Black」の文字と脅迫文を確認した経緯を報じた記事。攻撃の種別を探る手がかりとした。
九州大学病院でランサムウェア感染か、患者43人の氏名・手術動画が流出の可能性(INTERNET Watch)(外部)
本件の事案発生日や発表日、対象患者43人、端末遮断などの初動対応、診療業務への影響なしといった事実関係を簡潔にまとめた記事。
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後(トレンドマイクロ)(外部)
2024年2月のクロノス作戦の経緯と各国機関の関与、摘発後のLockBitの動向を解説。本家弱体化と模倣拡散の背景の裏付けに用いた。
Lockbitへ行われた共同捜査 Operation Cronos についてまとめてみた(piyolog)(外部)
クロノス作戦の詳細と、摘発から数日でLockBitがリークサイトを再公開し活動再開を宣言した経緯を時系列で整理した記事。
【関連記事】
日本医科大学武蔵小杉病院、ランサムウェア攻撃で約1万人の患者情報が漏洩(内部) 国内大学病院がVPN経由で侵害され患者約1万人の情報が漏れた事案。本件と同じ医療機関ランサム被害の国内事例。
LockBit・DragonForce・Qilin|3大ランサムウェア集団が連合結成(内部) LockBitが病院など重要インフラへの攻撃方針を転換した動向を解説。本件で名が挙がったLockBitの最新の立ち位置がわかる。
ランサムウェア「LockBit」摘発、2000人超の被害者救済へ(内部) 日英米によるOperation CronosでLockBitが摘発された経緯を報じた記事。解説で触れたクロノス作戦の詳細を補える。
【編集部後記】
「うちは大きな会社じゃないから狙われない」——以前、ある交流会でそんな声を聞いたことがあります。でも今回の件は、その感覚をそっと覆すものでした。狙われたのは病院の中枢ではなく、研究室の一台。攻撃者にとっては、組織の規模よりも「入りやすいかどうか」が大事なのかもしれません。
私自身、複数の端末にデータを散らかしがちな一人として、今回はわが身を振り返るきっかけになりました。完璧な防御を一気に組むのは難しくても、「このデータ、ここに置いたままで大丈夫かな」と立ち止まる習慣なら、今日から始められそうです。みなさんはいかがでしょうか。気づいたことがあれば、ぜひ聞かせてください。
