大阪急性期・総合医療センターランサムウェア被害

発生日2022-10-31

国・地域JP 日本

医療機関大阪急性期・総合医療センター（公立・865床）

原因サプライチェーン / VPN・機器の脆弱性 / ランサムウェア

アクター特定できず

深刻度重大

信頼度確認済み

被害診療の停止・縮小データ暗号化システム停止

被害メモ診療停止、電子カルテ暗号化、外来・手術停止

停止期間約73日

被害額約20億円／病院は被害額を数十億円規模と説明（調査復旧費数億円＋診療制限の逸失利益十数億円以上）。2025年にNEC等3社と計10億円の解決金で和解。

タイムライン（経緯）

公表・確認済みの日付のみ。未公表の経緯は省略している。

2022-10-31 発生
ランサムウェア攻撃で電子カルテ含む基幹システムが使用不能。外来診療・予定手術が停止
2023-01-11 復旧
通常診療を全面再開
2023-03-28 調査・報告
調査報告書を公表（給食委託事業者経由のサプライチェーン侵入を確認）

攻撃の流れ（MITRE ATT&CK 戦術）

公表・確認済みの情報に基づく。未公表の段階は省略している。戦術名をクリックすると同じ戦術の事例を一覧で見られる。ATT&CKとは？

初期アクセス TA0001 給食委託事業者のデータセンター経由で侵入

横展開 TA0008 VPNの閉域接続を通じて病院ネットワークへ拡大

影響（暗号化・破壊） TA0040 電子カルテシステムを暗号化し診療停止

実施した再発防止策

公表・確認済みの対策のみ。未公表の対策は省略している。

委託先管理強化外部接続を一旦すべて遮断し、専門家監修のもと外部接続（リモート保守）の許可基準を策定。許可時に通信元のセキュリティ環境・通信ログを確認する管理体制を構築
委託先管理強化委託契約ごとに責任分界点・役割を文書（SLA・サービス仕様適合開示書）で明確化し、医療機器調達時のセキュリティチェックリストを策定
アクセス制御の見直し全ユーザーへの管理者権限付与をやめ標準ユーザー運用に変更。Windowsパスワードをサーバ・端末ごとに個別化（16桁以上）し、アカウントロックアウト（連続5回失敗で15分）を有効化
EDR・端末対策ウイルス対策ソフト未導入だった電子カルテサーバへ対策ソフトを導入。端末でのUSB機器使用を制限
システム再構築 2,000台以上のサーバ・端末を初期化してクリーンインストールし、指摘された脆弱性を復旧時にすべて改善
体制・規程整備 IT資産管理システムの運用を開始し、サイバー攻撃によるシステム障害を想定したBCP（事業継続計画）を新たに整備
第三者評価機構内の他センターでサイバーセキュリティ安全性確認の委託調査を実施

2022年10月31日、大阪急性期・総合医療センターがランサムウェア攻撃を受け、電子カルテシステムを含む基幹システムが使用不能となった。外来診療・予定手術が停止し（救急は一部継続）、通常診療の全面再開は2023年1月11日、完全復旧まで約73日を要した。

侵入経路は、給食を委託していた事業者の VPN 機器の脆弱性であり、病院と委託事業者のネットワークが接続されていたため被害が拡大した。サプライチェーンを通じた攻撃の典型例として、委託事業者を含めたセキュリティ管理の重要性が指摘された。2023年3月に調査報告書が公表されている。攻撃者の特定は公的には確定していない。

大阪急性期・総合医療センター ランサムウェア被害

タイムライン（経緯）

攻撃の流れ（MITRE ATT&CK 戦術）

実施した再発防止策

出典

大阪急性期・総合医療センターランサムウェア被害