Dark Reading誌が2025年8月26日に掲載した記事によると、医療機関がランサムウェア攻撃を受けた場合、被害は最初に標的となった機関を超えて拡大する。
周辺病院は救急車の転送や予約外受診者の増加により患者数が管理不能な高さに達する可能性がある。
IANS Researchのポール・コネリー氏は、アセンション病院の場合、システムが4週間使用できなかったと述べている。Health-Information Sharing and Analysis Centerのエロル・ワイス氏によると、2024年には全ての重要インフラ組織で約6,000件のランサムウェア事件が記録され、そのうち446件が医療分野だった。
2025年前半では全セクターで4,159件のケースが追跡され、医療分野では281件が確認された。ESETのトニー・アンスコム氏は、病院は重大な事態に対する回復力を組み込んでいるため、他が考えるよりもランサムウェア攻撃に準備ができていると主張している。
From: 
When One Hospital Gets Ransomware, Others Feel the Pain
【編集部解説】
医療機関へのランサムウェア攻撃が単なる「その病院の問題」では済まなくなっています。今回のDark Reading記事が浮き彫りにするのは、現代医療ネットワークが抱える「相互依存性の脆弱性」という深刻な現実です。
実際の事案を振り返ると、2024年のChange Healthcareへの攻撃では、一つの医療決済システムが停止しただけで全米の薬局や診療所に影響が波及しました。これは今回の記事が指摘する「波及効果」の典型例と言えるでしょう。
特に注目すべきは、攻撃者が意図的に「患者ケアシステム」を標的にしている点です。記事中でコネリー氏が指摘するように、これらのシステムは「最大の支払いレバレッジ」を持っているからです。つまり、病院側としては患者の命に関わるため、身代金を支払わざるを得ない状況に追い込まれやすいのです。
農村部と都市部での被害格差も重要な視点です。都市部では複数の病院間で患者を分散できる一方、農村部では代替施設までの距離が問題となります。この地理的格差は、デジタル格差と重なり合って新たな「医療格差」を生み出す可能性があります。
多要素認証(MFA)の重要性について、記事では具体的にアセンション攻撃とChange Healthcare攻撃が「MFA不足」に起因していたと指摘しています。これは技術的には比較的簡単に導入できる対策でありながら、実装率の低さが問題となっている現実を示しています。
AI技術の活用についても言及されていますが、医療AIの導入には慎重さが求められます。患者データの機密性と可用性のバランスを取りながら、異常検知システムを構築する必要があるためです。
長期的視点では、医療のデジタル化が進む中で、サイバーセキュリティが「患者安全」の一部として認識される必要があります。従来の「ITの問題」という枠を超えて、医療品質管理の中核に位置づけることが急務となっているのです。
【用語解説】
ランサムウェア(Ransomware) – マルウェアの一種で、被害者のコンピューターやデータを暗号化し、復旧と引き換えに身代金を要求するサイバー攻撃手法である。
多要素認証(MFA:Multi-Factor Authentication) – パスワードだけでなく、SMSトークン、生体認証、ハードウェアキーなど複数の認証要素を組み合わせてセキュリティを強化する認証方式である。
HIPAA(Health Insurance Portability and Accountability Act) – 医療保険の携帯性と説明責任に関する法律。1996年に制定された米国の連邦法で、患者の医療情報の保護と適切な取り扱いを定めている。
レガシーシステム – 古い技術やソフトウェアで構築された既存のコンピューターシステムで、新しいセキュリティ標準に対応していない場合が多い。
SimpleHelp – リモートモニタリングおよび管理(RMM)ソフトウェアの一つで、IT管理者が遠隔地からコンピューターを監視・管理するために使用される。
【参考リンク】
Dark Reading(外部)
サイバーセキュリティ分野の専門メディアで、企業のセキュリティ担当者向けに最新の脅威情報や業界動向を提供
IANS Research(外部)
情報セキュリティ業界向けの独立系アドバイザリー企業で、CISO向けに実践的な意思決定支援を提供
Fortified Health Security(外部)
医療機関専門のマネージドセキュリティサービスプロバイダーで、患者データ保護に特化したソリューションを提供
Health-ISAC(外部)
医療情報共有分析センターで、医療セクターの関係者が脅威情報とベストプラクティスを共有する非営利組織
Ascension(外部)
米国最大規模のカトリック系医療システムの一つで、17州とワシントンD.C.で90の病院を運営
【参考記事】
Ransomware Attacks Surge 67% in Healthcare Sector in 2025(外部)
2025年の医療セクターにおけるランサムウェア攻撃が67%急増し、病院システムが標的となっている現状を分析
The dangerous ripple effects of ransomware attacks on patient safety(外部)
ランサムウェア攻撃が患者安全に与える危険な波及効果について詳述し、地域全体の医療提供体制への長期的影響を分析
Healthcare Data Breaches 2025 Statistics: $10.22M Cost(外部)
2025年の医療データ侵害統計を示し、一件あたりの平均被害額が1022万ドルに達している現状を数値で報告
Understanding the Rise of Ransomware Attacks on Rural Hospitals(外部)
農村部病院へのランサムウェア攻撃増加について詳細に分析し、都市部との格差や代替医療施設への影響を研究
Change Healthcare Increases Ransomware Victim Count to 192.7 Million(外部)
Change Healthcareへのランサムウェア攻撃で1億9270万人の被害者が確認され、米国史上最大規模の医療データ侵害事件の詳細報告
【編集部後記】
今回の記事を読んで、皆さんの身近な医療機関は大丈夫だろうか、と不安になりませんでしたか?実は日本でも2021年のつるぎ町立半田病院、2022年の大阪急性期・総合医療センターなど、同様の被害が相次いでいます。
もし普段通院している病院や、緊急時に頼りにしている地域の医療機関が突然「システム停止」になったら、皆さんはどこに向かいますか?この問題は決して「海の向こうの話」ではなく、私たち一人ひとりの生活に直結する重大な課題なのです。医療のデジタル化が進む今、患者である私たちにも何ができるのか、一緒に考えてみませんか?
