2026年現在、医療機関を狙ったサイバー攻撃は「電子カルテ」から「病院設備」へとその標的を広げています。その象徴的な事例となったのが、日本医科大学武蔵小杉病院におけるランサムウェア被害です。
本件で特筆すべきは、従来の電子カルテシステムだけでなく、入院患者の生命線である「ナースコールシステム」が攻撃の起点となり、甚大な影響を及ぼした点にあります。なぜ、一見すると外部ネットワークとは無縁に思える設備系IoTが狙われたのでしょうか。
本記事では、武蔵小杉病院の事例を深く掘り下げ、過去の重大事案(つるぎ町立半田病院、大阪急性期・総合医療センター、宇都宮セントラルクリニック)との比較を通じて、現代の医療機関が抱える「セキュリティの死角」を明らかにします。経営層やIT担当者が今すぐ取り組むべき具体的な防御策についても、実務レベルで解説します。
目次
日本医科大学武蔵小杉病院の事例:ナースコールが狙われた3つの原因
日本医科大学武蔵小杉病院における事案は、従来の「データ奪取」や「電子カルテ停止」を目的とした攻撃とは一線を画すものでした。病院運営に不可欠な「設備」が人質に取られた背景には、医療機関特有の構造的な脆弱性が存在します。
ここでは、なぜナースコールが標的となったのか、その具体的な原因を3つの視点から解説します。
1.なぜナースコール?攻撃者が「設備系IoT」を標的にした理由
攻撃者がナースコールなどの設備系IoTを狙う最大の理由は、「医療継続へのインパクトが極めて大きい一方で、セキュリティ対策が手薄であるから」です。
ナースコールシステムは、現在その多くがIPネットワーク化されており、サーバーやハブを通じて管理されています。しかし、これらは「医療機器」や「情報システム」とは別の「設備」として扱われることが多く、IT部門の管理外(シャドーIT化)になりやすい傾向があります。
攻撃者は、電子カルテの堅牢な防御を避け、より脆弱な設備系ネットワークを足がかりに病院全体へ感染を広げる戦略をとっています。
2.保守用回線が入り口に:VPN機器の脆弱性を突いた侵入経路
今回の侵入経路として特定されたのが、ベンダーがメンテナンスのために設置していた「保守用VPN」の脆弱性です。
多くの医療設備ベンダーは、迅速なトラブル対応のためにリモートメンテナンス回線を導入しています。しかし、以下の点が原因となり、攻撃者の格好の入り口となりました。
- 脆弱性の放置:VPN機器のOSアップデートが行われておらず、既知の脆弱性が悪用された。
- 認証の甘さ:多要素認証(MFA)が導入されておらず、単純なID/パスワードのみで接続可能だった。
- ベンダー任せの管理:病院側が「どのベンダーが、どの経路で接続しているか」を完全に把握できていなかった。
3.閉域網への過信:セキュリティ更新が放置されていた運用の実態
「院内ネットワークは外部と繋がっていない(閉域網)から安全である」という、いわゆる閉域網神話が被害を拡大させた一因です。
ナースコールを含む設備系システムは、一度導入されると10年近く更新されないことが珍しくありません。外部と遮断されているという過信から、以下の運用実態が放置されていました。
- ウイルス対策ソフトの未導入:動作保証の問題から、セキュリティソフトがインストールされていない。
- サポート切れOSの使用:Windows7やWindows8といった古いOSが、物理的な設備(制御PC)で稼働し続けていた。
結果として、VPN経由で一度内部に侵入を許すと、これら無防備な設備は瞬時にランサムウェアの餌食となりました。
【引用元】
厚生労働省:医療機関におけるサイバーセキュリティ対策チェックリスト
https://www.mhlw.go.jp/content/10808000/001253950.pdf
過去の3大事例(半田・大阪・宇都宮)と武蔵小杉事案の決定的な違い
医療機関のセキュリティを語る上で避けて通れないのが、半田病院、大阪急性期、宇都宮セントラルクリニックの事例です。これらの過去事例と今回の武蔵小杉事案を比較することで、攻撃手法の進化と変化が見えてきます。
それぞれの事例の特徴と、武蔵小杉事案との相違点を整理します。
半田病院・大阪急性期:VPNと電子カルテを狙った「王道手法」の脅威
つるぎ町立半田病院(徳島県)と大阪急性期・総合医療センターの事例は、いずれも「VPN機器の脆弱性」を突破口に、基幹システムである「電子カルテ」を直接狙ったものでした。
| 項目 | 半田病院・大阪急性期 | 武蔵小杉病院(2026年) |
| 主な標的 | 電子カルテシステム(データベース) | ナースコール等の設備系IoT |
| 攻撃の目的 | データの暗号化による身代金要求 | 病院インフラの物理的停止 |
| 被害の影響 | 長期間の診療停止、紙カルテ運用 | リアルタイムの患者対応不能、転院搬送 |
過去の事例が「情報の利用不可」による混乱だったのに対し、武蔵小杉事案は「現場の物理的な連絡手段の喪失」という、より即時的な身体的リスクを突きつけました。
宇都宮セントラルクリニック:サプライチェーン攻撃から学ぶ委託先の責任範囲
宇都宮セントラルクリニックの事例は、委託先の情報システム会社が攻撃を受け、そこから連鎖的に被害が及んだ「サプライチェーン攻撃」の典型です。
武蔵小杉事案も「ベンダーの保守回線」が起点となった点は共通していますが、宇都宮のケースが「ITベンダー」経由だったのに対し、武蔵小杉は「設備ベンダー」経由であった点が異なります。これは、攻撃対象がITからOT(制御技術)領域へと完全にシフトしたことを意味しています。
武蔵小杉の教訓:医療機器ではなく『病院設備』が最大の死角になる時代
武蔵小杉事案が我々に示した最大の教訓は、「医療機器(CTやMRI等)よりも、ナースコールや空調、電気管理などの『ビル管理設備』の方がセキュリティレベルが低く、かつ攻撃しやすい」という事実です。
これまでのセキュリティ対策は、電子カルテを中心とした「情報系」に偏重していました。しかし、2026年現在の脅威は、病院という建物そのものを機能不全に陥らせる「設備系」の死角を突いています。
【引用元】
警察庁:サイバー警察局「令和5年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
自院(クリニック)を守る!今すぐ実施すべき4つのIoTセキュリティ対策
武蔵小杉病院のような被害を防ぐためには、もはや「うちは小さいから大丈夫」という考えは通用しません。特に中小規模の病院やクリニックこそ、管理がベンダー任せになりやすく、攻撃者に狙われやすい傾向にあります。
明日から取り組むべき、具体的かつ実効性の高い4つの対策を解説します。
対策1:資産管理の徹底|ネットワーク上の全接続機器を可視化する
「何が繋がっているか分からない」状態こそが最大の不備です。まずは、院内のネットワークに接続されているすべてのデバイスをリストアップしてください。
- 確認対象:電子カルテ端末、レセコン、ナースコール主装置、WEBカメラ、Wi-Fiルーター、複合機など。
- 管理項目:OSのバージョン、設置場所、保守ベンダー名、最終アップデート日。
これらを台帳化し、棚卸しを行うだけで、対策が必要な「古い機器」を特定できます。
対策2:ネットワーク分離|電子カルテと設備系システムを物理的に分ける
すべての機器を同じネットワーク(VLAN)に共存させるのは、感染拡大を許す致命的な構成です。
- 情報系:電子カルテ、インターネット閲覧用PC
- 設備系:ナースコール、監視カメラ、入退室管理
- 医療機器系:画像診断装置、検体検査装置
これらを物理的、あるいは論理的に分離し、相互の通信を厳格に制限する「セグメンテーション」を実施してください。これにより、仮にナースコールが感染しても、電子カルテへの波及を防ぐことが可能になります。
対策3:ベンダー管理の厳格化|保守用回線の接続ルールと責任の明確化
「ベンダーに任せているから安心」は禁句です。保守用回線に関しては、以下のルールを徹底してください。
- 常時接続の禁止:メンテナンス時のみ回線を有効にし、終了後は物理的に切断するか論理的に遮断する。
- 多要素認証の必須化:IDとパスワードだけでなく、スマホアプリによる承認などを求める。
- 作業ログの確認:いつ、誰が、何のために接続したかの記録をベンダーから定期的に取得する。
対策4:検知・応答の強化|EDR/MDR導入による侵入前提の体制構築
「侵入を防ぐ」ことには限界があります。2026年の標準的な対策は、「侵入されることを前提に、いかに早く見つけ、対処するか」です。
- EDR(EndpointDetectionandResponse):PCやサーバー内での不審な動きを検知し、隔離するツール。
- MDR(ManagedDetectionandResponse):24時間体制で専門家が監視を代行するサービス。
中小規模の医療機関であれば、これらをアウトソーシング(外注)することで、高度なセキュリティ体制を安価に構築することが可能です。
【引用元】
独立行政法人情報処理推進機構(IPA):情報セキュリティ10大脅威2024
https://www.ipa.go.jp/security/10threats/10threats2024.html
万が一のサイバー攻撃発生時:被害を最小化する3つの初動対応ステップ
どれほど対策を講じても、100%の防御は不可能です。攻撃を受けた際、被害を「ボヤ」で食い止められるか「全焼」させるかは、最初の数時間の対応にかかっています。
緊急時に迷わず行動するための、3つのステップを事前に共有しておきましょう。
ステップ1:迅速な物理遮断と感染拡大防止のためのネットワーク隔離
不審な動作(ファイルが開かない、勝手に再起動する、脅迫画面が出る等)を確認した瞬間に、以下の行動をとってください。
- LANケーブルを抜く:該当する端末だけでなく、ハブやルーターからケーブルを抜き、物理的に隔離します。
- Wi-Fiをオフにする:電波を通じて感染が広がるのを防ぎます。
- 電源は落とさない(要判断):調査のためのメモリ上の証拠が消える可能性があるため、可能であれば「ネットワーク遮断」に留めます。
ステップ2:法的・公的義務|警察、厚生労働省、個人情報保護委員会への報告
サイバー攻撃による被害は、社会的な責任を伴います。隠蔽は被害を拡大させるだけでなく、法的制裁の対象となります。
- 警察:都道府県警察のサイバー犯罪対策課へ通報。
- 厚生労働省:医療機関の報告義務に基づき、所管の保健所等を通じて報告。
- 個人情報保護委員会:個人データ漏洩の恐れがある場合、速やかな報告が必要です。
ステップ3:事業継続計画(BCP)の発動とバックアップからの復旧手順
システムの復旧を急ぐあまり、汚染された状態のままバックアップを書き戻してはいけません。
- オフラインバックアップの活用:ネットワークから切り離して保管していたバックアップデータが「最後の砦」となります。
- 手動運用の開始:診療を止めないための「紙カルテ運用」や「代替連絡手段」への切り替えを、あらかじめ訓練しておいてください。
【引用元】
個人情報保護委員会:漏えい等報告・本人への通知の義務化について
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
まとめ:2026年以降の医療安全は「止まらないIoT環境」の構築が鍵
日本医科大学武蔵小杉病院の事例は、ナースコールという盲点を突かれたことで、医療現場がいかに脆いIT基盤の上に成り立っているかを浮き彫りにしました。
今やサイバー対策は「IT担当者の仕事」ではなく、患者の命を守るための「医療安全」そのものです。以下の3点を今日から意識してください。
- 設備系システム(IoT)を管理対象に加える
- 閉域網への過信を捨て、ゼロトラスト(何も信じない)の考え方を取り入れる
- ベンダーとの責任分界点を明確にし、丸投げを卒業する
医療のDX化が進む2026年において、セキュリティ投資はコストではなく、病院経営の継続性を保証する「保険」です。まずは自院のネットワークに繋がっている機器の確認から始めてみてはいかがでしょうか。
ご自身の病院のセキュリティ体制に不安がある場合は、専門家による「セキュリティ診断」の受診をお勧めいたします。
