つるぎ町立半田病院ランサムウェア被害

発生日2021-10-31

国・地域JP 日本

医療機関つるぎ町立半田病院（公立・120床）

原因VPN・機器の脆弱性 / ランサムウェア

アクターLockBit

深刻度高

信頼度確認済み

被害診療の停止・縮小データ暗号化システム停止

被害メモ診療停止、電子カルテ暗号化、新規患者受け入れ停止

停止期間約65日

漏えい件数約85,000件

被害額約2億円／被害総額の試算は約2億数千万円。うち調査復旧費として約7,000万円を支払い。

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2021-10-31 発生
未明、LockBit ランサムウェアにより電子カルテ含む基幹システムが暗号化。新規患者の受け入れを停止
2022-01-04 復旧
通常診療を再開
2022-06-16 調査・報告
有識者会議の調査報告書を公表（VPN脆弱性の放置・更新未適用などを指摘）

攻撃の流れ（MITRE ATT&CK 戦術）

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは？

初期アクセス TA0001 VPN機器（Fortinet FortiGate）の脆弱性を悪用して侵入

影響（暗号化・破壊） TA0040 電子カルテを含む基幹システムを暗号化

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

アクセス制御の見直し新システムで外部からのアクセス回線・アクセス認証・アクセスログ収集を強化（管理者の設置・管理インターフェースの保護を含む）
多要素認証の導入 VPN接続にワンタイムパスワードとクライアント証明書による端末認証を組み合わせ、接続可能な端末を厳格に制限（サイバートラストデバイスID）
多要素認証の導入医療系Windows端末約200台に二要素認証システムを導入（ソリトン SmartOn ID）
バックアップ強化バックアップを含む運用強化を実施

2021年10月31日未明、徳島県のつるぎ町立半田病院が LockBit ランサムウェアによる攻撃を受け、電子カルテシステムを含む基幹システムが暗号化された。約8万5000人分の患者データが閲覧不能となり、約2か月にわたり新規患者の受け入れを停止、通常診療の再開は2022年1月4日となった。

侵入経路は VPN 機器（Fortinet FortiGate）の脆弱性の悪用とされる。2022年6月に公表された有識者会議の調査報告書では、VPN 機器の脆弱性の放置、Windows 更新プログラムの未適用、ウイルス対策ソフトの未導入などが指摘された。日本の医療機関を狙ったランサムウェア被害の代表的事例として広く参照されている。

つるぎ町立半田病院 ランサムウェア被害

タイムライン（経緯）

攻撃の流れ（MITRE ATT&CK 戦術）

実施した再発防止策

出典

つるぎ町立半田病院ランサムウェア被害