病院に逸失利益が数十億円規模の影響与えたランサムウェア攻撃の実際と対応策

すべての業務システムの復旧までに要した期間は73日

　このインシデントに対する復旧作業の経過を示したのが図2である。「最終的に電子カルテなど基幹システムが再稼働するまでに43日間、その他すべての業務システムが復旧するまでには73日間を要した」（森藤氏）ことになる。

図2：感染からシステム復旧までの経過の概要

　電子カルテを参照していた約2200台の端末はすべて回収し、クリーンセットアップした上で再配布した。森藤氏は「1日に作業できるのは200台が限界で、すべて再配布し終えるのに約1カ月を要した」と話す。

　システム全体の復旧では、「診療情報のバックアップデータは確認できたものの、基幹システムと部門システムが情報の紐付けに用いているオーダー番号の整合性を調整するのにも非常に手間と時間がかかった」（森藤氏）。「バックアップ対象に、システムの機能などの構成ファイルが含まれていなかったことも影響している」（同）という。

　他にも復旧を進めるうえで困った点として森藤氏は、「ベンダーと病院スタッフとの情報共有ツールで適当なものがなかなか見つからず連絡に手間取ったこと」「病院スタッフとベンダーが一堂に集まって打ち合わせできるスペースの確保が難しかったこと」「マニュアルの大半がシステム環境で保管されていたため参照できなかったこと」などを挙げる。

感染後の洗い出しで初歩的な設定漏れなども発覚

　今回の被害の直接的な要因は、給食事業者がVPN機器の脆弱性を放置したことにある。だが「病院側としては給食事業者との常時RDP接続に問題があった」と森藤氏は反省する。さらに「接続しているWindows OSのセキュリティが初期設定のままだったことや、アカウントロックなどの初歩的なセキュリティが未対応だったことも、二次的な要因と考えられる」（同）ともいう。

　具体的には、電子カルテのパスワードが、導入当初から簡易的なもので、すべてが同じで、病院内の全職員が管理者権限でサーバーを操作できる状態だった。アンチウイルスが未設定のサーバーもあった。「少しでも早く画面を表示してほしい」という現場からの要望でベンダーが未設定にしていた。

　感染の直接的な要因がサプライチェーンにあったことから外部接続に関する問題を洗い出したところ、民生品のルーターやサポート切れのWindows OSが導入されているなどの問題点も発見された。

　対策として、専門家の助言を受け多層防御を実施した。具体的には、パスワードを16文字以上にし、15分以上でアカウントロックを実行、サーバー／ユーザーIDごとに異なるパスワードを設定するなどである。「HISではユーザーアカウントロックの事例がほとんどなく、ベンダー側は消極的だった。そこを依頼し設定してもらった」（森藤氏）という。

　ただセキュリティを強化したことで、電子カルテに支障が出た。ウィンドウを新たに開くと、それまで開いていたウィンドウが自動で閉じる機能が動作しなくなってしまった。「複数の患者の診療情報が同時に表示されることになり、医療安全上の新たな問題になった」（森藤氏）

　電子カルテの診療情報データには法律上、真正性・見読性・保存性」の3原則が規定されている。今回、第三者からの攻撃を受けた時点で真正性が担保されなくなった。「幸いにも『DACS（Document Archiving and Communication System）』というデジタルカルテ庫のような仕組みにより、大事は免れた」と森藤氏は話す。

　またLockBitが暗号化した被害データの復号化ツールを関東管区警察局サイバー特別捜査隊が開発している。ただ「復号はできても『改ざんされていない』という証明が得られず大きな悩みになっている」（同）

　これらすべての調査・復旧に掛かった費用は、「数億円以上。診療制限に伴う逸失利益は数十億円の規模に達すると病院側は見込んでいる」と森藤氏は話す。

確実な対策実行に向け医療情報システム安全管理委員会を設置

　今回のサイバー攻撃とその対応・復旧から得た教訓と今後の取り組みをまとめたのが図3である。バックアップの運用見直しやIT資産管理システムの投入のほか、ITガバナンスのための仮想組織の発足や、各種契約でのセキュリティ項目の追加、サイバー攻撃への対応手順の策定などだ。これらを確実に実行するために「医療情報システム安全管理委員会」を2024年4月に発足させる。

図3：反省点と今後取り組むセキュリティ強化策

　森藤氏は、「国からはHISの安全管理責任者の設置が求められている。今後は、医療情報部長を中心に、組織的にも技術的にも継続してセキュリティレベルを高めるべく施策を進めていきたい」と力を込める。