近年、国内の医療機関を標的としたサイバー攻撃が後を絶ちません。2026年2月に発生した日本医科大学武蔵小杉病院でのランサムウェア被害事例を題材に、攻撃者の手口、医療機関特有の弱点、そして「医療業務を止めない」ための実践的な防御戦略とソリューションについて解説したオンデマンド動画を配信しました。

本記事では、その内容を要約するとともに、直近で相次いでいる別の医療機関への被害状況も交え、今すぐ取るべき対策について解説します。

事件の概要と攻撃者「NetRunnerPR」の執拗な手口

2026年2月9日深夜01:50頃、日本医科大学武蔵小杉病院のナースコール端末で障害が発生し、サイバー攻撃が発覚しました。原因は「医療機器保守用VPN装置からの不正侵入」であり、ナースコールサーバー3台が被害を受け、約1万人分の患者情報が漏洩したことが公式に発表されています(その後第五報にて件数を修正)。幸いにも電子カルテへの影響はなく、外来・入院診療などの病院業務は通常通り継続されました。

一方で、ダークウェブ上では「NetRunnerPR」と名乗る攻撃グループが犯行声明を出しています。彼らは当時の公式発表の約13倍にあたる約13万件のデータ窃取を主張し、証拠となるCSVサンプルを公開。さらに、彼らが1億ドル(約150億円)という巨額の身代金を要求していたことも明らかになっています。

これは、データを暗号化してシステムを停止させるだけでなく、事前にデータを盗み出し「支払わなければ公開する」と脅す**「二重恐喝(Double Extortion)」**の典型的な手口です。

【アップデート】4月に発生した悪質な「追加脅迫」

さらに4月に入り、事態は新たな局面を迎えました。攻撃グループ「NetRunnerPR」は、武蔵小杉病院側が身代金の要求に対して一切応じず無視し続けていることへの報復として、追加の犯行声明を発表しました。彼らは**「このまま要求を無視し続けるのであれば、盗み出した約13万件の全データをインターネット上に漏洩させる」**と強く脅迫しています。 一度侵入を許しデータを持ち出されてしまえば、自組織のコントロールが効かないところで長期間にわたり執拗な脅迫が続くという、ランサムウェア被害の恐ろしさが如実に表れています。

連鎖する被害:白梅豊岡病院への攻撃と国内医療業界への脅威

武蔵小杉病院の事件から息つく間もなく、国内医療業界を震撼させるニュースが飛び込んできました。愛知県の白梅豊岡病院においてもサイバー攻撃による個人情報の漏洩被害が発表され、この事件に関しても同じく「NetRunnerPR」がダークウェブ上で犯行声明を出していることが確認されています。

この事実は、極めて重大な脅威を示唆しています。NetRunnerPRは単発の犯行ではなく、「セキュリティ対策に特有の弱点を抱える日本の医療機関」を明確なターゲットとして定め、連続的かつ組織的なキャンペーン(攻撃)を展開している可能性が高いということです。

過去に国内企業を狙った「Qilin」などのグループと同様、人命を盾に取り、社会インフラとしての責任の重さにつけ込んで高額な身代金を要求するこの悪質な傾向に対し、国内の全医療機関は「明日は我が身」として早急な対策の見直しを迫られています。

浮き彫りになった2つの本質的課題

なぜ、人命に関わる重要なシステムが連続して狙われ、侵入を許してしまうのでしょうか?一連の事例から、現在の医療機関が抱える2つの大きな課題が見えてきました。

1. サプライチェーン・リスク(ベンダー管理VPNの盲点)

侵入口となりやすいVPNは、病院のシステム部門ではなく、機器ベンダーが保守目的で管理しているケースが多々あります。自組織の統制が直接及ばない、ブラックボックス化されたリモート回線の脆弱性が放置され、そこがネットワーク全体の致命傷となる「責任分界点の罠」が存在しています。

2. 「閉域網だから安全」という神話崩壊とIoMTの制約

ナースコールシステムなどの医療機器(IoMT)は、動作を担保するために一般的なアンチウイルスソフト(EPP)を導入できないケースがあります。「インターネットに直接繋がっていないから安全」という過信から内部対策を怠ると、ひとたびVPNを突破された瞬間に、攻撃者の横展開(Lateral Movement)を容易に許してしまうことになります。

医療業務を止めない「優先度付き防御モデル」

「ベンダー管理のVPNからの侵入を、ファイアウォールなどの境界防御で100%防ぐ」ことはもはや現実的ではありません。そこで重要になるのが、**「侵入されることを前提とし、実被害(データの窃取と暗号化)を防ぐ」**というアプローチです。

医療機関において絶対に守るべきは「医療業務の継続」です。セミナーでは、業務影響を最小限に抑えつつ脅威を封じ込める**「優先度付き検知・遮断モデル」**を提唱しました。

  • Priority 0(最優先):データ窃取の阻止 法的・経営的ダメージに直結する個人情報漏洩を防ぎます。外部への異常な大容量通信を検知し、外部IPへの通信のみを自動遮断することで、内部の医療通信は維持します。
  • Priority 1:横展開(Lateral Movement)の阻止 ランサムウェアの被害拡大を防ぐため、非管理端末からの不審な管理通信(RDPやSMBなど)を検知し、対象の侵害端末のみをネットワークから隔離します。
  • Priority 2:ランサムウェア暗号化の阻止 大量のファイル変更やシャドウコピーの削除といった振る舞いを検知し、暗号化プロセスを強制停止させます。
  • Priority 3:永続化・C2の検知 不審なサービス作成などを検知した際は、プロセス停止のみに留め、むやみに端末を隔離せず業務影響を回避します。

NISTフレームワークに基づく包括的セキュリティとCybereasonの強み

これらの防御を実現するためには、NISTサイバーセキュリティフレームワークに基づいた「リスクの最小化」と「脅威対策」の両輪が必要です。国内エンドポイントセキュリティ市場でNo.1のシェアを誇るサイバーリーズンは、この全フェーズを網羅するソリューションを提供しています。

  1. 特定(Identify):Cybereason ASA によるリスク可視化 攻撃者が最初に狙うのは、企業が意図せず公開している資産です。Cybereason ASA (Attack Surface Assessment) は、単なる脆弱性スキャンではなく、EDRベンダーならではの「攻撃者視点」で公開ドメインや設定ミス、放置クラウドなどの侵入口を識別します。発見して終わりではなく、実行力あるインテリジェンスと調査報告書を提供し、事前のリスクを最小化します。
  2. 防御(Protect):Cybereason NGAV による水際対策 シグネチャによる既知のマルウェア防御に加え、AIによる静的バイナリ解析やファイルレスマルウェアのブロックなど、多層的な防御で脅威の実行を未然に防止します。
  3. 検知(Detect):Cybereason EDR による未知の脅威検知 NGAVをすり抜けた高度な攻撃に対しては、EDRが振る舞いベースで検知・防御します。米国の評価機関MITRE社による検証(MITRE ATT&CK 2025)でも「100%自動検知・誤検知なし」の実力を証明しており、無数のログを直感的なアラートに集約し、攻撃の全貌を捉えます。
  4. 対応(Respond):Cybereason MDR による24時間365日の監視 武蔵小杉病院の事件の攻撃開始は深夜の01:50でした。サイバーリーズンのMDRサービスは、日本語対応で24時間365日お客様の環境を監視します。緊急時にはSLO 5分でSOCチームが迅速に一時対処を遠隔実施するため、夜間・休日であっても被害の拡大を確実かつ迅速に阻止します。 (※サイバーリーズンの各種サービスは、政府情報システムのためのセキュリティ評価制度「ISMAP」にも登録されています)

結論:システムを停止せず、被害を最小化する

サプライチェーンを経由した侵入を完全に防ぐことは困難です。しかし、Cybereasonのプラットフォームを活用することで、以下の解決策を実現できます。

「システムを停止せず、工数をかけず、99%の侵入を防ぎ、残りの1%による被害を最小化する」

侵入は100%防げないという前提に立ち、早期検知・早期対処の体制を構築すること。そして「自動防御」と「脅威の可視化」、さらには「潜在するリスクの可視化」を実現することが、NetRunnerPRのような執拗な攻撃者から現代の医療機関を守る唯一の道です。