📅 公開日：2026年4月11日

病院が72日間マヒした日——大阪急性期・総合医療センター ランサムウェア事件を徹底解説

公開日：2026年4月｜タグ：#情報セキュリティ #ランサムウェア #サプライチェーン攻撃 #情報セキュリティマネジメント

「電子カルテが動かない」——2022年10月31日の朝

2022年10月31日、午前6時38分。

大阪急性期・総合医療センター（病床数865床）の病棟担当看護師から、次々と報告が入り始めます。

「電子カルテが動かない」

最初はシステムの不具合を疑いました。しかし数時間後、その正体が明らかになります。

病院の基幹システムサーバーがランサムウェア（身代金要求型マルウェア）に感染していたのです。電子カルテ・患者管理システム・院内コミュニケーションツール——すべてのデータが暗号化され、画面には英文の脅迫メッセージが表示されていました。

その日のうちに、病院は救急診療の受け入れ・外来診療・予定手術をすべて停止。完全復旧まで72日間を要しました。

被害の規模

命に関わる重大インシデントでありながら、死者が出なかったことは不幸中の幸いでした。

どうやって侵入されたのか——サプライチェーン攻撃の全貌

「閉域ネットワークだから安全」——多くの医療機関がそう信じていた時代の話です。

攻撃者はまず、病院ではなく給食委託業者（ベルキッチン）を狙いました。

攻撃の流れ

① 給食業者のVPN機器に脆弱性（CVE-2018-13379）を発見
      ↓
② VPN経由で給食業者のシステムに侵入
      ↓
③ 業者内のIDとパスワードを窃取
      ↓
④ RDP（リモートデスクトップ）で病院の栄養給食管理サーバーに侵入
      ↓
⑤ 病院内の全サーバーのパスワードが共通だったため、横展開が容易
      ↓
⑥ ウイルス対策ソフトをアンインストール
      ↓
⑦ ランサムウェア「Phobos（Elbie亜種）」を実行→全データ暗号化

病院自身は直接攻撃されていません。取引先業者を踏み台にした「サプライチェーン攻撃」でした。

なぜ防げなかったのか——調査報告書が明かした衝撃の実態

2023年3月に公開された調査報告書には、驚くべき事実が記載されていました。

問題点①：全ユーザーに管理者権限を付与

本来、権限は必要最小限に留めるべき（最小権限の原則）。しかし同センターでは全ユーザーが管理者権限を持っていたため、攻撃者は侵入後すぐに広範な操作が可能でした。

問題点②：全サーバーのパスワードが共通

1つのサーバーに侵入されると、同じパスワードで他のサーバーにも次々と侵入できる状態でした。

問題点③：VPN機器の脆弱性を放置

侵入に使われた脆弱性（CVE-2018-13379）は2021年に既に公表されていました。パッチを適用していれば、侵入を防げた可能性があります。

問題点④：電子カルテサーバーにウイルス対策ソフト未設定

ほかのサーバーには設定されていたにもかかわらず、最重要システムが無防備でした。

問題点⑤：アカウントロックアウト未設定

パスワードを何度でも試行できる状態だったため、辞書攻撃（総当たりに近い手法） が成功しやすい環境でした。

💡 調査委員会の結論：「VPN機器の管理やRDP接続の運用が適切であれば被害を免れた可能性がある。また、侵入を許した場合でも初期設定が適切であれば、大規模に横展開されることはなかった」

試験に出る！——関連する重要キーワード

この事件には、情報セキュリティマネジメント試験や基本情報技術者試験の頻出概念が詰まっています。

教訓——「うちは関係ない」は通用しない

この事件が日本のセキュリティ業界に与えた最大のメッセージは、「自社を直接守るだけでは不十分」 ということです。

攻撃者は、セキュリティが甘いサプライヤー（外部委託業者）を踏み台にします。大病院ですら、給食業者のVPN機器1台の脆弱性から崩壊しました。

現代の組織に求められる対策：

• 委託先のセキュリティも含めてリスク評価する
• ネットワークをセグメント分割し、横展開を防ぐ
• 最小権限の原則を徹底する
• 既知の脆弱性には速やかにパッチを適用する
• オフラインバックアップを定期取得する

この事件を試験で確認してみよう

情報セキュリティマネジメント試験では、このような実際のインシデントをベースにした問題が出題されます。

👇 HiDeckerで関連問題を解いてみる

• ランサムウェアに関する問題を解く
• サプライチェーン攻撃に関する問題を解く
• アクセス制御・最小権限の問題を解く

参考：大阪府立病院機構「情報セキュリティインシデント調査委員会報告書」（2023年3月）