大阪の病院がランサムウェアで2ヶ月停止
——中小企業に置き換えると？

2022年10月、大阪急性期・総合医療センターがサイバー攻撃を受け、電子カルテが完全に使えなくなりました。通常診療の再開まで約2ヶ月。復旧にかかった費用は約4億3,000万円。「うちは病院じゃないから関係ない」——本当にそうでしょうか？

何が起きたのか

2022年10月31日、ハロウィンの朝。大阪急性期・総合医療センター（約1,000床）の職員が出勤すると、院内の画面に見慣れないメッセージが表示されていました。

電子カルテ、検査データ、手術記録——病院が患者を診るために必要な情報がすべて、突然アクセス不能になりました。職員は紙とペンに戻り、手書きで診療を続けるしかありませんでした。

新規外来の受け入れは停止。救急患者も一時的に受け入れ制限となり、地域医療全体に混乱が波及しました。完全復旧が宣言されたのは翌年の2023年1月のことです。

なぜ侵入されたのか——たとえ話で理解する

調査の結果、攻撃者の侵入口となったのは病院の給食業者が使っていたVPN機器の脆弱性でした。「VPN」という言葉に馴染みがない方のために、まずは建物で例えます。

病院本体のセキュリティ対策が万全であっても、外部業者が接続するための機器が古いまま放置されていたことが致命的な穴になりました。攻撃者はそこを突いて病院の内部ネットワークに侵入し、ランサムウェア（身代金型ウイルス）を仕掛けたのです。

「病院の話」で終わらせてはいけない理由

「うちは医療機関ではないから関係ない」——残念ながら、これは大きな誤解です。

この攻撃で使われた手口（古いVPN機器の脆弱性を突いた侵入）は、業種や規模を問わず使える汎用的な手口です。むしろ、セキュリティ投資が手薄な中小企業は格好のターゲットになっています。

攻撃者は「有名な会社」を狙っているのではなく、「侵入しやすい会社」を自動的にスキャンして探しています。病院が狙われたのは有名だからではなく、脆弱な入口があったからです。

もし同じことが中小企業で起きたら

病院は約4億円をかけて復旧できましたが、中小企業はどうでしょうか。システムが2ヶ月止まれば、受注・請求・在庫管理がすべて停止します。取引先からの信頼失墜、対応人件費、場合によっては顧客情報の流出による損害賠償——そのコストが会社の体力を超えれば、廃業につながるケースも実際に起きています。

今すぐできること——4つの対策

「何から手をつければいいかわからない」という方に向けて、優先度の高い順に整理します。特別な知識がなくてもすぐに確認できることから始めましょう。

• 1

  ネットワーク機器のアップデートを確認する

  オフィスのルーターやVPN機器は、メーカーが定期的にセキュリティ修正を配布しています。「何年も触っていない」機器がある場合は今すぐ確認を。特に古い機種はサポート終了でパッチが出ないことがあり、その場合は買い替えが必要です。

• 2

  外部業者の接続経路を整理する

  ITサポート業者や取引先が自社ネットワークにリモート接続できる状態になっていませんか？接続できる業者・経路・期間を把握し、不要なアクセス権は削除しましょう。「なんとなく繋がったまま」が最大のリスクです。

• 3

  バックアップを「今すぐ」取る

  ランサムウェアへの最強の対抗策はバックアップです。しかし重要なのは、バックアップデータが本体と同じ場所にあってはいけないこと。クラウドにも保管し、かつ「定期的に自動バックアップが走っているか」を週次で確認する仕組みを作りましょう。

• 4

  まず「今の状態」を把握する

  対策の前に、自社が今どんなリスクにさらされているかを知ることが先決です。外部から見たときに脆弱な箇所がどこにあるかを把握していなければ、何から守ればいいかも判断できません。

まとめ——「把握」が最初の一歩

• ランサムウェアは医療機関だけでなく、中小企業も日常的に狙っている
• 侵入口は「本体」ではなく「業者用の古い機器」だった——これは多くの会社に当てはまる
• 被害に遭ってからの復旧コストは、予防コストの何倍にもなる
• まず「自社の現状を把握する」ことが、すべての対策の出発点