岡山県精神科医療センターの個人情報漏洩は「人災」　ランサムウェアによるサイバー攻撃の調査報告書を発表

2025年2月13日、地方独立行政法人岡山県精神科医療センターは、2024年5月19日に発生したランサムウェア攻撃に関する調査報告書を公表しました。

この報告書は、一般社団法人ソフトウェア協会・Software ISACが調査・分析を行い、再発防止策をまとめており以下ポイントを記載します。

岡山県精神科医療センターで発生したランサムウェア攻撃の概要

2024年5月19日、岡山県精神科医療センターは大規模なランサムウェア攻撃を受け、電子カルテを含む病院情報システムが完全に機能停止しました。

この攻撃により、同センターと東古松サンクト診療所のシステムが影響を受け、通常の診療業務が不可能となり、病院は紙カルテ運用へと切り替えを実施。

6月7日、岡山県警は病院の患者情報が外部に流出した可能性があることを確認し流出した可能性がある情報は、最大40,000人分の患者データの漏洩を確認

さらにランサムウェア攻撃グループが、データリークの脅迫をダークウェブ上で表明。（結局2025年2月時点で公開されず）

復旧作業は困難を極め、特に、病院のバックアップデータがすべて攻撃者によって破壊されており、オフライン・バックアップが不完全であったことが大きな問題となりました。そのため、暗号化を免れたデータウェアハウス（DWH）から情報を復元するしかなく、新規サーバーの手配とデータの再入力が必要となり

結果として、仮復旧には6月1日まで、完全復旧には約3か月を要した。

事案発生の経緯

• 2024年5月19日（日）16時頃、電子カルテを含む病院情報システムがサイバー攻撃により完全停止。
• 2024年5月20日（月）、岡山県、岡山市、岡山県警、厚生労働省に報告。
• 2024年5月21日（火）、システム障害の原因がランサムウェア攻撃と特定。
• 2024年6月7日（金）、県警が個人情報の流出を確認。
• 2024年6月11日（火）、記者会見を開き、最大40,000人分の個人情報流出を公表。

漏洩した可能性のある患者の個人情報

・患者情報　氏名、住所、生年月日、病名　等（最大　約40,000人分）

・病棟会議の議事録

問題点

報告書から見えてきた問題点は以下です。

簡易的なパスワードの使いまわし初期侵入

保守用 SSL-VPN 装置の ID/PW が、administrator/P@ssw0rdで、さらに病院内のすべての Windows コンピューターの管理者の ID/PW も、VPNと同じadministrator/P@ssw0rd が使いまわされていました。

また侵入口と想定されるSSL-VPN 装置は

・Syslog の保存が 4Mbyte であったため、暗号化発覚時点ではすべて上書きされてしまっており、侵入元 IP アドレスなどの調査は不可能でだった。

・SSL-VPN 装置の脆弱性が 2018 年の設置以降、修正されておらず、過去、ランサムウェア攻撃に使用された脆弱性が複数存在した。

とされており、組織に一般的なセキュリティ意識があれば防げていたサイバー攻撃でした。

全てのユーザーに管理者権限を与えており、横展開される

一般ユーザーにも管理者権限を付与していたことにより、各ユーザーやサイバー攻撃者がウイルス対策ソフトの設定変更、停止が可能でありました、

さらに保守用 VPN 装置への接続元 IP アドレス制限がなく、インターネット上から誰でも攻撃が可能だったとされています。

活かされなかった同業他社の教訓

管理者パスワードの使いまわし、サーバー・端末ユーザーへの管理者権限の付与、これによるウイルス対策ソフトの停止という点で、

以下病院へのサイバー攻撃と全く同じ事案です。

・徳島県つるぎ町立半田病院

・大阪急性期・総合医療センター

過去の同様のインシデントの教訓は全くいかされておらず、報告書でも

「病院の情報は重大な個人情報が多く、また広範囲に被害を及ぼす可能性があります。今回のような苦渋を
経験される病院が今後現れないようにするためにも、私たちの経験を広く知っていただいて、できるだけ多
くの病院の皆様に早く対策をして頂くことが何よりも重要です。あろうことか、私たちは過去の事例に十分学んでいませんでした。

過去の、大阪急性期・総合医療センターや徳島県つるぎ町立半田病院からは、有識者会議等による報告書が公開されており、誰でも見ることができます。当院の担当者もその資料を読んでいましたが、経験のない者にはシステム担当者や電子カルテベンダーといえど理解が容易ではなく、対策がつ
い遅れがちになっていたことは事実です。」

と記載されています。

 

参照

ランサムウェア事案調査報告書