SPECIAL
追跡!ネットアンダーグラウンド

あなたの病院の「感染」対策は大丈夫?~問われる医療機関のセキュリティー~

2022.05.27 :

「また病院か」。
セキュリティー関係者がため息をついた。ことし1月、愛知県の病院が身代金要求型のコンピューターウイルスに感染した。昨今、あとをたたない医療機関へのサイバー攻撃。厚生労働省は、医療機関向けのガイドラインを見直し、「ランサムウエア」を喫緊の課題とした上で、バックアップの取り方などについて方針を示した。高いレベルのセキュリティーが求められる医療機関。いま、患者の命と情報を守る責任が問われている。

地域医療の現場でまさか…

春日井リハビリテーション病院
JR名古屋駅から電車で30分、さらにバスに乗り継いで20分。住宅などが点在する郊外の街に、その病院はあった。

愛知県春日井市の「春日井リハビリテーション病院」。けがをした人や高齢者などが、治療やリハビリによって日常生活を取り戻すためのサポートを行っている。

そんな地域医療を支える現場がある日突然、「事件」の舞台になった。関係者の誰もが想像していなかったという事態。その詳細が、病院などへの取材で明らかになった。

真夜中に届いた脅迫文

それは、新年が明けて間もない2022年1月12日のこと。真夜中の午前1時前、自宅で休んでいた病院スタッフの携帯電話がけたたましく鳴った。
病院内の電子カルテが見られないんです!
当直勤務の看護師からだった。午前2時ごろ、スタッフが病院に駆けつける。そして、原因を調べようと電子カルテを管理するサーバーのパソコンを開くと、そこには予想もしない言葉が並んでいた。
Congratulations!
英語で「おめでとう」。

いったい何のことなのか。そのまま文章を読み進めたスタッフはその意味を理解し、顔が青ざめたという。
You have to pay for decryption and prevent leakage.(情報漏えいを防ぎ、暗号化されたファイルを復元したいなら金を払え)
仕掛けられたのは、「ランサムウエア」と呼ばれる身代金要求型のウイルス。サーバーにはおよそ5万人分の患者の情報が入った電子カルテのデータが保存されていた。そのデータがすべて暗号化され、一切閲覧できなくなっていたのだ。
春日井リハビリテーション病院 大川内敏剛 総務課長
日本の医療機関で去年からサイバー攻撃による被害が相次いでいることは把握していましたが、まさか私たちの病院が標的になるとは思ってもみませんでした。システムが停止した中で病院の業務をどうやって継続すればいいのか。まずはそのことを考えました

“非常事態”その時病院は

病院は情報セキュリティー会社に原因などの調査を依頼するとともに、警察や厚生労働省にも通報。金銭の要求には応じないことを決めた。その上で、患者に影響が出ないよう、医師や看護師、スタッフが総出で対応にあたることになった。

診察の開始時間は午前9時。

それまでに、病院内のシステムやスタッフが使うパソコンなど、インターネットがつながるすべての電子機器を停止する措置をとった。これ以上の被害の拡大を防ぐためだ。
手書きされたカルテ
そして、問題の電子カルテ。これまでの治療内容や投薬歴など、診察には欠かせない患者の基本情報にアクセスできなくなった。このため、外来の患者1人1人に聞き取りを行い、カルテを手書きで作成し直すはめに。処方箋も手書きでの対応を余儀なくされ、診察に多くの時間を割くことになった。

さらに、電子カルテと連動していた会計システムも使えなくなり、
患者への費用の請求が一時、できなくなったという。

こうした“非常事態”は、およそ1か月に及んだ。その間、医師や看護師は連日残業が続くなど、大きな負担を強いられることになった。

多額の復旧費用まで・・・

影響はこれだけではなかった。情報セキュリティー会社が調査した結果、攻撃を受けたサーバーの復旧は事実上、不可能であることが判明。病院は新たな電子カルテのシステムを導入しなければならなくなった。

そのための費用は数千万円。

さらに、今後は手書きのカルテをシステムに入力し直す作業が必要になるという。完全に復旧するのは、サイバー攻撃を受けてから4か月余りとなる5月末の予定だ。

標的になった原因は?

なぜ、この病院がサイバー攻撃の標的になってしまったのか。情報セキュリティー会社の調査で、その原因とみられる「穴」が明らかになった。
病院の電子カルテのサーバーには、「VPN」と呼ばれる外部接続サービスが使われていた。

VPNは本来、病院や企業などのサーバーに外部から安全にアクセスするためのもので、テレワークでも広く活用されている。しかし、このサービスにはぜい弱性があり、そこが狙われた可能性が高いというのだ。

病院が導入していたのは、アメリカの企業が製造したVPN機器。実は、おととしから去年にかけて認証に必要なIDやパスワードが世界中で大量に流出し、問題になっていた。このため、企業側は放置すればハッカーに侵入され、情報を盗み取られるおそれがあるとしてパスワードを変更するなどの対策を取るよう呼びかけていたが、病院はシステムの保守については外部の企業に対応を任せていたため、詳しいことは把握していなかったという。
さらに、被害の深刻化を防げたかもしれないポイントも浮かび上がってきた。

病院では、電子カルテを管理するサーバーが何らかの原因で使えなくなった場合に備えて、バックアップ用のサーバーを設置していた。ところが、オンラインで管理していたため、こちらもウイルスに感染。その結果、予備の電子カルテのデータまで暗号化されてしまったのだ。

このデータが生きていれば、手書きのカルテ作成に追われるようなことにはならなかったはずだ。

今回の事態を受けて、病院ではシステムのセキュリティーを常に最新の状態にするとともに、バックアップデータを複数保管するなど対策を強化するとしている。
春日井リハビリテーション病院 大川内敏剛 総務課長
今となってはこうしておけばよかったと思うことがありますが、後悔先に立たずです。業務への影響は想像以上のもので、病院とスタッフにとって大きな負担になったし、患者の皆さまにもご迷惑をおかけし、申し訳ない気持ちです。今後は2度と同じ目に遭わないよう、対策を徹底するしかありません。

見直し迫られる厚労省

厚生労働省のホームページ
医療機関がランサムウエアの被害に遭うケースは近年増えている。

2018年には奈良県宇陀市の市立病院で患者の一部の診療記録が見られなくなるなどの影響が出たほか、去年は徳島県つるぎ町の町立病院で、春日井市と同様に、電子カルテや会計システムのデータなどが暗号化され、およそ2か月にわたり、産科などを除いて新規患者の受け入れを停止する事態となった。

厚生労働省も対応に追われている。医療機関向けのセキュリティー対策について解説したガイドラインの見直しを迫られることになった。
今回の見直しでは「ランサムウエア」への対策を「喫緊の課題」をあげた。

一筋縄ではいかない「バックアップ」

特に詳しく書かれたのが、データのバックアップの取り方だ。

春日井市のケースでもポイントとなった、いわば、復旧の要ともいえるバックアップだ。実は、このバックアップ、医療機関において、一筋縄ではいかない事情もある。

ランサムウエアの場合、院内のネットワークにバックアップデータもオンラインでつないでいれば、ウイルスはそのまま、バックアップも含めて、暗号化されるおそれがあることは、春日井市のケースでも明らかになった。
一般に、バックアップは、ネットワークから切り離し、オフラインで保管することの重要性がよく指摘されている。当然、リアルタイムにデータを保管することはせず、周期を決めて、定期的に送り込むことになる。

しかし、医療機関側からは、こうしたバックアップのあり方は「医療になじまない」という声もある。

「患者の状況は刻一刻と変化するため医療データは24時間、365日リアルタイムでバックアップをとっておかなければ意味がない」(医療関係者)からだ。

そこで、ガイドラインでは、医療システムは、医療機関の規模などによって様々であることから「一様に指針を示すこと困難である」と指摘した上で、複数の方法を示している。

具体的には、データを記録する媒体の種類やとる周期、それに媒体をネットワークなどから切り離して保管することなどの対策を列挙した。重要なのは、診療の継続や早期の業務再開のために、必要な情報は、具体的にどこまでを指すのか、事前に絞って明確にしておくことだという。

誰が責任を持って管理をするのか?

ガイドラインでは、「VPN」をはじめとしたリモート接続に関する対策も盛り込まれている。

システムについて業者が外部からリモートでメンテナンスを行う際は、必ずログ=記録をとったり、終了後、医療機関の責任者が確認したりすることなどを求めている。

医療機関の電子カルテなどのシステムは、インターネットと接続されていないことが多く、それだけに安全とも考えられてきた。一部の専門家は、医療機関にはこうした「安全神話」が存在すると指摘する。

しかし、その一方で、情報化が進んだ現在、院内のシステムは、システムベンダーなどが外部からリモートで接続し、メンテナンスを行うのは珍しいことではない。こうした状況を医療機関側が十分に把握していないケースがあり、そもそも、システムの管理の責任が、システムベンダーとの間で明確になっていない病院も多いという。

厚労省は「医療機関の規模などによってセキュリティーにかけられる予算も違うため、一律に同じ対策を求めることはできないが、それぞれの事情にあわせてさまざまな対策を組み合わせてほしい」と話している。

ほかよりも高いレベルを

国立情報学研究所 高倉弘喜教授
ガイドラインの改定に関わった国立情報学研究所の高倉弘喜教授は、医療機関のセキュリティー対策について「医療機関は一日でも機能が止まることは許されず、一般的な対策を超えるレベルの高いものが求められている」と指摘する。
医療現場では診療機器などのシステムが複雑に連携していて、1つが止まるとどこに波及するか、はっきりとわからないことも多い。ガイドラインを参考に、何から手をつけてどこを解決していくのか。全部一度整理して、順番に対策を講じていくことが求められる
さらに高倉教授は、こうしたガイドラインを順守するだけでなく、できる限り、最新の脅威動向を把握するなど、絶えず、セキュリティーを高める努力が不可欠だとしている。
これほどサイバー攻撃が高度・多様化した今、国がつくるガイドラインをそのまま、守っていれば大丈夫ということではない。日々変わる攻撃に対してどう備えていくか、常に対策を見直していってほしい
きわめて高いセキュリティーが求められる医療機関。

しかし、現場では人員もかけられる予算も十分に確保することが難しいという声もよく聞かれる。

ヒントとして、高倉教授があげるのが、定期的なシステムの更新や入れ替えの際に、安全性の高いもの切り替えること、そして、国の方針として進められている電子化カルテのデータの標準化にあわせて、たとえば小さなクリニックであれば、システムをほかの病院と共同で借りたり、クラウドを使ったりするという方法だ。その上で「医療機関がセキュリティーにかけるコストを、だれがどのように負担していくのか、これから議論が必要になる」とも指摘している。
まさか私たちが攻撃を受けるとは思わなかった
日々、サイバー攻撃の取材を続ける中で、幾度となく耳にする言葉だ。

すでに公表されているぜい弱性に対して適切な対応をとらなかったり、認証情報の漏えいがわかっているにもかかわらず、放置していたり…。その「隙」を攻撃者は容赦なくついてくる。

永田知之の最新記事
    ご意見・情報をお寄せください

    社会部記者

    永田知之

    2010年入局。甲府局を経て、2015年から社会部で司法、警察を担当。汚職や経済事件のほか、死刑制度なども取材。「カルロス・ゴーン事件」では、みずから中東に向かい、不透明な資金の流れを追跡した。2019年からは警察庁を担当し、国家を背景にしたサイバー攻撃や、経済安全保障などを中心に取材を続けている。学生時代はライフセーバーとして海岸に立つ。しかし、年齢とともに基礎代謝が低下していることに気付かず、20代前半のままの食生活を続けたために・・・昔の海パンはひざ上までしか入らない。最近、しっかり汗をかいたといえば行きつけの銭湯(東京・新宿区)のサウナ。携帯電話を置いて“無”になる時間は大切だ。

    永田知之記者の記事一覧へ

    科学文化部記者

    福田陽平

    神奈川県茅ヶ崎市出身。2013年入局。岡山、札幌局を経て2021年4月から科学文化部。担当分野はIT・サイバーセキュリティーと文化・芸術(美術・アート)。地方局時代には、アニメーション監督・高畑勲さんや脚本家・倉本聰さんといったクリエイターなどを取材。岡山では、ハンセン病の元患者、札幌ではアイヌ、LGBTの当事者など、マイノリティーをテーマとした取材も継続している。学生時代に観た是枝裕和氏のドキュメンタリーに衝撃を受け、善悪の単純な二元論で、物事を捉えるのではなく、その「間」を深く取材し、多面的に報道することを目指している。趣味は映画鑑賞、美術館巡り、ひとり海外旅行、読書(小説)。学生時代に吹奏楽部、映画サークルに所属し、いまも年間150本は映画を観る、完全な「文化系」。日課は、契約する5つの動画配信サービスを横断し、映画・ドラマをひたすらチェックすること。悩みは、新たにどの動画配信サービスに入るべきか。

    福田陽平記者の記事一覧へ

    記事の内容は作成当時のものです

    SPECIAL一覧に戻る