安佐市民病院へ不正アクセス、患者情報5000件の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

安佐市民病院へ不正アクセス、患者情報5000件の個人情報漏洩の可能性

広島市立北部医療センター安佐市民病院(以下、安佐市民病院)は、2024年10月9日に発生した不正アクセス 被害を2025年2月10日に公表しました。
当該パソコンには患者情報約5000件が保存されていましたが、警察の調査では外部流出の形跡は確認されておらず、情報漏えいの可能性は低いとしています。

しかしながら、想定外の手段によるアクセスの可能性は完全には否定できないとして、個人情報保護法に基づく通知を対象者に送付する対応を取っています。

不正アクセスの概要

安佐市民病院によると、2024年10月9日、インターネット接続された院内のパソコン1台に対し、不正アクセスが発生しました。
この不正アクセスを受け、同病院は問題のパソコンをネットワークから遮断し、警察と連携して調査を進めるとともに、国の個人情報保護委員会にも報告しました。

警察の調査の結果、不正アクセスの対象となったパソコンには遠隔操作ソフトがインストールされていましたが、外部への情報流出の痕跡は見当たらなかったと報告されています。

なお、病院の医療情報システムは独立した別のシステムで運用されており、そちらには被害が及んでいないとのことです。

端末に保存されていた個人情報

不正アクセスがあったパソコンには、以下の患者情報約5000件が保存されていました。

  • 患者番号
  • 氏名
  • 生年月日
  • 性別
  • 診断名
  • 診察日(一部または全て)

現時点では、情報の不正利用や流出の証拠は確認されていませんが、万が一に備え、病院は個人情報保護法に基づく通知を対象者に送付すると発表しました。

侵入経路と攻撃手法

今回の不正アクセスでは、遠隔操作ソフトが不正にインストールされていたことが確認されており、攻撃者はこれを利用して病院のパソコンを操作しようとした可能性があります。

遠隔操作ソフトは、正規のリモート管理ツールを悪用するケースや、不正なソフトウェアをインストールするケースがあります。病院のセキュリティ対策がどの程度施されていたかは明らかにされていませんが、院内ネットワークに接続されたパソコンが直接標的となったことから、外部からの攻撃手法(フィッシングメールや脆弱性を突いた攻撃)の可能性も指摘されます。

参照

安佐市民病院パソコンへの不正アクセスについて(お知らせ)

企業がとるべきセキュリティ 対策

医療機関では、多くの機密情報を取り扱うため、サイバー攻撃の標的となるケースが増えています。今回のような不正アクセスを防ぐためには、以下の対策が求められます。

  1. ネットワークに接続された端末の管理強化

    • 病院内のパソコンには厳格なアクセス制御を行い、不要な外部アクセスを遮断する。
    • 遠隔操作ソフトのインストールを制限し、不審なソフトの実行をブロック。
  2. 医療従事者へのセキュリティ教育

    • フィッシングメールを介したマルウェア感染のリスクを防ぐため、定期的なセキュリティ研修を実施。
    • 医療機関特有の脅威(ランサムウェア攻撃や内部不正)についての理解を深める。
  3. EDR(エンドポイント検知・対応)の導入

    • 遠隔操作ソフトやマルウェアの活動をリアルタイムで検知し、即座に対応するEDRの導入
  4. オフラインバックアップの整備

    • ランサムウェアなどの攻撃に備え、定期的にバックアップを取り、ネットワークから切り離して保管する。