2026年2月14日、日本医科大学武蔵小杉病院は、同院の医療情報システムの一部がランサムウェア攻撃を受けたことを発表した。攻撃対象はナースコールシステムサーバー3台で、約1万人分の患者の氏名、性別、住所、電話番号、生年月日、患者IDが漏洩した。
カルテ情報、クレジットカード情報、マイナンバーカード情報の漏洩は現時点で確認されていない。侵入経路は医療機器保守用VPN装置であり、原因となったランサムウェアは特定済みである。
2月9日午前1時50分頃にナースコール端末の動作不良で障害を覚知し、厚生労働省の初動対応チームの派遣を受けて調査を継続している。外来・入院・救急の診療業務は通常通り実施している。
From: 当院へのサイバー攻撃による個人情報漏洩に関するご報告とお詫び(第2報)|日本医科大学武蔵小杉病院
【編集部解説】
今回の事案で注目すべきは、攻撃の起点が電子カルテや会計システムといった中核的な医療情報システムではなく、「ナースコールシステム」という病棟の周辺機器だったという点です。ナースコールは、患者がベッドサイドから看護師を呼び出すための仕組みですが、近年はIP化・ネットワーク化が進み、患者情報と連携してディスプレイに氏名を表示するなど、事実上のIoT医療機器として機能しています。こうした周辺システムが患者の個人情報を保持し、かつネットワークに接続されている状態は、攻撃者にとって格好の侵入先となり得ます。
侵入経路として確認された「医療機器保守用VPN装置」は、ベンダーが外部からリモートでメンテナンスを行うために設置されたものです。神奈川新聞の報道によれば、同院は保守用VPN装置を20台保有しており、そのうち1台が侵入を受けました。塚田弥生副院長は会見で、電子カルテにひも付いていた医療機器のVPNに脆弱性があったにもかかわらず、そこまで監視が行き届いていなかったことが一番の大きな問題だったと述べています。また、日テレNEWS NNNの報道では、VPNのパスワードが解読されやすいものだった可能性にも言及されています。
病院が発表した漏洩人数は約1万人ですが、複数のセキュリティメディアの報道によると、攻撃者を名乗るグループがダークウェブ上で犯行声明を出し、約131,135件の個人情報を窃取したと主張しているとされます。病院側も、ナースコールのサーバーに保存されていたデータとして1万人は多いという認識を示しており、他のサーバーへの影響が完全に否定されていない段階にあります。今後の調査で被害範囲が拡大する可能性は残されています。
身代金については、複数のテレビ報道によると、攻撃者はサーバーに1億ドル(約150億円)を要求する英語のメッセージを残していたとのことです。なお、病院側は会見の当初、要求額を100万ドル(約1億5000万円)と発表していましたが、その後1億ドルに訂正しています。谷合信彦院長は支払いを明確に拒否し、神奈川県警に被害届を提出しました。
医療機関へのランサムウェア攻撃は、国内ではもはや珍しいものではありません。2021年の徳島県つるぎ町立半田病院、2022年の大阪急性期・総合医療センター、2024年の岡山県精神科医療センターなど、VPN装置の脆弱性を経路とした事例が繰り返し報告されてきました。とりわけ医療機関のVPN装置は、機器の薬機法規制によるアップデートの制約や、ベンダー任せになりがちな保守体制を背景に、パッチ適用が遅れやすい構造的な問題を抱えています。
本件が提起するもう一つの論点は、医療DXの進展に伴う「攻撃対象面(アタックサーフェス)の拡大」です。電子カルテだけでなく、ナースコール、患者見守りセンサー、輸液ポンプ、医用画像システムなど、ネットワークに接続されるIoMT(Internet of Medical Things)機器は増え続けています。これらの機器は患者の安全に直結するため可用性が最優先される一方で、セキュリティ対策の優先度が相対的に低くなりがちです。「診療系システムとは分離されているから安全」という前提が、今回のような形で崩れうることを本件は示しています。
厚生労働省は2023年に「医療情報システムの安全管理に関するガイドライン第6.0版」を策定し、VPN機器を含むリモート接続環境の脆弱性管理を求めています。しかし、ガイドラインの存在と現場への浸透の間には依然として溝があり、今後は「脱VPN」を含むゼロトラストアーキテクチャへの移行や、保守用ネットワークを含めた網羅的な脆弱性管理体制の整備が、医療機関のDX推進と両輪で議論されるべき段階に来ていると言えるでしょう。
【用語解説】
ランサムウェア(Ransomware)
感染したシステムのデータを暗号化し、復号と引き換えに金銭(身代金)を要求する不正プログラムの総称である。近年は、データの暗号化に加えて窃取した情報の公開を脅迫材料とする「二重脅迫」が主流となっている。
VPN(Virtual Private Network)
インターネット上に暗号化された仮想の専用回線を構築し、遠隔地から安全に内部ネットワークへ接続するための技術である。本件では、医療機器ベンダーがリモート保守を行うために設置していたVPN装置が侵入経路となった。
ナースコールシステム
入院患者がベッドサイドから看護師を呼び出すための通信設備である。近年はIP化・ネットワーク化が進み、患者情報の表示や見守りセンサーとの連携など、IoT医療機器としての機能を備えるものが増えている。
IoMT(Internet of Medical Things)
IoT(モノのインターネット)の医療・ヘルスケア特化版を指す概念である。電子カルテ、医用画像装置、輸液ポンプ、ナースコールなど、ネットワーク接続された医療機器・デバイスの総称として用いられる。
アタックサーフェス(Attack Surface)
攻撃者がシステムへ侵入・攻撃するために利用し得る接点の総体を指すセキュリティ用語である。ネットワーク接続される機器やサービスが増えるほど、この攻撃対象面は拡大する。
ゼロトラストアーキテクチャ
ネットワーク内外を問わず「何も信頼しない」ことを前提に、すべてのアクセスを検証・認可するセキュリティ設計思想である。従来のVPN中心の境界型防御に代わるアプローチとして、医療分野でも導入が議論されている。
厚生労働省初動対応チーム
医療機関がサイバー攻撃を受けた際に、厚生労働省から派遣される専門チームである。被害状況の調査やシステムの復旧支援、再発防止策の助言などを行う。
【参考リンク】
日本医科大学武蔵小杉病院(公式サイト)(外部)
神奈川県川崎市の大学病院。救命救急センターを有する災害医療拠点病院で、学校法人日本医科大学が運営する。
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(外部)
2023年5月改定の医療機関向け情報セキュリティ指針。VPN機器を含むリモート接続環境の脆弱性管理を求めている。
個人情報保護委員会(公式サイト)(外部)
個人情報保護法に基づく独立機関。個人情報の取り扱いに関する監視・監督を行う。本件でも漏洩の報告先となった。
【参考記事】
またもVPNからランサム被害、日本医科大学武蔵小杉病院で約1万人の情報漏洩(日経クロステック)(外部)
VPN装置が侵入経路となった点に注目し、2025年に相次いだランサムウェア被害との共通パターンを指摘している。
川崎の大学病院にサイバー攻撃、患者1万人の個人情報が漏えい(神奈川新聞)(外部)
保守用VPN装置20台中1台が侵入を受けた詳細と、副院長による脆弱性監視の不備への言及を報じている。
日本医科大学武蔵小杉病院 サイバー攻撃で患者約1万人分の個人情報漏えい(日テレNEWS NNN)(外部)
身代金要求額が100万ドルから1億ドルに訂正された経緯と、VPNパスワードの脆弱性の可能性に言及している。
武蔵小杉病院にサイバー攻撃 患者1万人の個人情報流出 身代金150億円「応じない」(テレビ朝日系)(外部)
ナースコールに1万人分のデータは多いとする副院長の認識と、他サーバーへの影響が調査中であることを伝えている。
日本医科大武蔵小杉病院、ランサムウェアによるサイバー攻撃で個人情報漏洩の恐れ(セキュリティ対策Lab)(外部)
ダークウェブ上で攻撃者が約131,135件の個人情報窃取を主張し、犯行声明とサンプルデータを公開した経緯を報じている。
【編集部後記】
医療DXが進む中で、電子カルテだけでなくナースコールのような身近な機器までがネットワークにつながる時代になりました。
私たちの健康データを預ける医療機関のセキュリティは、もはや「病院の問題」ではなく、患者である私たち一人ひとりに関わるテーマではないでしょうか。皆さんが通っている病院では、どのような対策が取られているか、気にされたことはありますか?
