「サイバー攻撃なんて大企業の話でしょう?」と思われるかもしれません。しかし、警察庁の統計によると、ランサムウェアの被害報告件数は2020年下半期の21件から2024年には222件へと急増。そのうち約63%は中小企業が占めています。医療・福祉分野だけで見ても、2022年には20件の被害が報告されました。
この記事では、実際に起きた被害事例をもとに、クリニック経営者の先生方が知っておくべきリスクと対策をお伝えします。
医療機関が狙われる3つの理由
理由1:患者情報はクレジットカードの10倍の価値がある
攻撃者が医療機関を狙う最大の理由は、患者情報の市場価値が極めて高いことです。クレジットカード番号は流出しても再発行すれば無効にできます。しかし、氏名・生年月日・病歴・服薬歴といった診療情報は変更できません。ダークウェブ(闇のインターネット市場)では、医療情報はクレジットカード情報の約10倍の価格で取引されるというデータがあります。
理由2:セキュリティ対策が手薄であることを知っている
多くのクリニックには、専任のIT担当者がいません。厚生労働省が2026年に実施した調査(対象8,171病院)によると、サイバー攻撃時のBCP(事業継続計画)を策定している病院はわずか27%。攻撃者はこうした統計データを分析しています。「守りが薄く、貴重なデータを持っている」——医療機関は格好のターゲットなのです。
理由3:システムが止まると診療が止まる
電子カルテや予約システムが使えなくなれば、診療そのものがストップします。「一刻も早く復旧したい」という切迫感から、身代金の支払いに応じてしまうケースも少なくありません。攻撃者にとって「支払い確率が高いターゲット」であることが、医療機関への攻撃が増え続ける構造的な理由です。
実際に起きた4つの被害事例
事例1:HPが改ざんされ、患者さんにマルウェアが配布された
2024年6月、江藤病院(徳島県小松島市)のHPが不正アクセスを受け、本来のページとは異なる内容に書き換えられました。改ざんは約8時間半にわたって続き、午前9時30分頃に発覚。幸い個人情報の漏洩は確認されませんでしたが、改ざん期間中にHPを閲覧した患者さんのパソコンやスマートフォンにまで被害が及ぶ可能性がありました。
この事例のポイント
攻撃の被害が病院だけにとどまらず、HPを見に来た患者さんの端末にまで及ぶ可能性があったこと。クリニックのHPが、知らないうちにマルウェア(悪意のあるソフトウェア)の配布元にされてしまうリスクがあります。
事例2:プリンターから脅迫文が出力され、2か月間紙カルテに逆戻り
2021年10月、つるぎ町立半田病院(徳島県)でランサムウェア「LockBit 2.0」への感染が判明。約85,000人分の電子カルテが暗号化され、閲覧も使用も不可能になりました。
原因は3つの重なった問題でした。VPN装置の脆弱性が放置されていたこと、セキュリティ対策ソフトのリアルタイムスキャン機能が「電子カルテの動作が遅くなる」という理由で約200台の端末で無効化されていたこと、そしてバックアップデータもランサムウェアに感染していたため復元できなかったことです。
病院は「身代金は支払わない」方針を決定。約2か月間、紙カルテに切り替えて診療を継続しました。復旧費用は約2億円にのぼりました。
事例3:取引先経由で侵入され、復旧に73日・和解金10億円
2022年10月、大阪急性期・総合医療センターを襲ったのは、サプライチェーン攻撃(取引先のシステムを踏み台にした攻撃)でした。給食委託先のVPN機器の脆弱性が突かれ、そこから病院本体の基幹システムまで侵入されました。
院内PC端末約2,200台に不正アクセスの痕跡が確認され、予定手術77件が中止、延べ約2,670名の患者に影響が及びました。復旧に73日を要し、2025年8月には和解金10億円の支払いで合意。被害総額は数十億円規模とされています。
事例4:パスワード「P@ssw0rd」で4万人分の患者情報が流出
2024年5月、岡山県精神科医療センターでランサムウェア攻撃が発生。最大約40,000人分の患者情報が外部に流出した可能性が判明しました。流出した可能性のある情報には、氏名・住所・生年月日に加え病名が含まれていました。精神科という診療科の性質上、患者さんの社会生活に直結する極めてセンシティブな情報です。
調査報告書で明らかになった問題点は衝撃的です。保守用VPN装置のパスワードが「P@ssw0rd」、全てのWindowsパソコンの管理者パスワードも同じものを使い回し、VPN装置の脆弱性が2018年の設置以降一度も修正されていませんでした。報告書はこの事案を「厚生労働省のガイドラインを順守していれば十分に防げた事案」と結論づけ、「人災」と断じました。
HPの改ざんとシステム侵入——攻撃には2つのパターンがある
パターンA:HPそのものが改ざんされる
CMS(HPの管理・更新を行うシステム)の脆弱性を突いて、ページの内容を書き換える攻撃です。日本国内のHPの約8割で使われているCMS「WordPress」では、2024年だけで約8,000件の脆弱性が報告されています。その96%はプラグイン(追加機能)に起因するもので、更新を怠ると攻撃の入口になります。
パターンB:ネットワーク経由でシステム全体に侵入される
VPN機器やRDP(リモートデスクトップ)の脆弱性を突いて、院内ネットワーク全体に侵入する攻撃です。警察庁の調査では、ランサムウェアの侵入経路の約8割がVPN機器またはリモートデスクトップでした。パターンAに比べて被害規模が桁違いに大きく、復旧に数週間〜数か月を要します。
被害を受けるとクリニックに何が起きるか
IBM社の2025年調査によると、医療機関のデータ侵害にかかる平均コストは約15億円(1,022万ドル)。これは全業種中14年連続で最高額です。
また、2023年4月の医療法施行規則改正により、医療機関のサイバーセキュリティ対策は法的義務となりました。患者情報が漏洩した場合は、個人情報保護委員会への報告と患者さん一人ひとりへの通知が義務づけられています。
今日からできる5つの備え
1. HPのCMSとプラグインが最新か確認する
WordPressを使っている場合、本体・プラグイン・テーマの3つすべてを常に最新バージョンに保つことが最も基本的な対策です。制作会社に「CMSとプラグインの更新はどのくらいの頻度で行われていますか?」と確認してみてください。
2. SSL/TLS(通信の暗号化)に対応しているか確認する
HPのアドレスが「http://」のままになっていませんか?「https://」(SSL/TLS対応)になっていない場合、問い合わせフォームに入力された内容が暗号化されず、第三者に読み取られるリスクがあります。ブラウザのアドレスバーに鍵マークが表示されていれば対応済みです。
3. パスワードを見直す
HP管理画面のパスワードが「clinic1234」や「password」のような推測しやすいものになっていたら、すぐに変更してください。岡山県の事例では「P@ssw0rd」というパスワードが原因で4万人分の情報が流出しました。英数字・記号を組み合わせた12文字以上が推奨されます。
4. バックアップの取得状況と保管場所を確認する
HPのデータが定期的にバックアップされているかを確認しましょう。半田病院の事例では、バックアップデータまでランサムウェアに感染していたため復元できませんでした。バックアップは院内ネットワークとは別の場所(オフサイト)にも保管されていることが重要です。
5. 制作会社にセキュリティ体制を確認する
以下の質問を制作会社に投げかけてみてください。「CMSやプラグインの更新はどのくらいの頻度で行っていますか?」「WAF(HPへの攻撃を検知・遮断する仕組み)は導入されていますか?」「もしHPが攻撃された場合、どのような対応フローになっていますか?」——明確な回答が返ってこない場合は、制作会社の見直しを検討する時期かもしれません。
まとめ
医療機関へのサイバー攻撃件数は2020年→2024年で約10倍に急増しており、規模の大小を問わず狙われています。HPの改ざんは患者さんの端末にまで被害が及ぶ可能性があり、システム侵入型の攻撃では復旧に数か月・被害額は数億〜数十億円に達します。「CMS更新」「SSL/TLS対応」「パスワード管理」「バックアップ」「制作会社への確認」が基本の5つの備えです。HPはクリニックの「顔」であると同時に、患者さんとの信頼の接点です。制作段階からセキュリティを考慮したHP作りが、先生のクリニックと患者さんを守ることにつながります。
