岡山県の岡山県精神科医療センターは2025年2月13日、2024年5月に発生したランサムウエア(身代金要求型ウイルス)被害に関する調査報告書を公表した。病院のランサムウエア事案の調査などに携わるソフトウェア協会・Software ISACに設置された調査委員会が、経緯や攻撃経路、原因、今後の対策などをまとめた。
同報告書は岡山県精神科医療センターの被害に関して、「厚生労働省のガイドラインを順守していれば十分に防げた事案であった」と表現する。サイバー攻撃者の侵入・展開を許した原因になったと見られるセキュリティー上の問題点として、ネットワーク機器やコンピューターのソフトウエアの脆弱性放置、推測されやすいIDとパスワードの設定と使い回しなどを挙げた。
これらの問題点は、2021年に発生した徳島県のつるぎ町立半田病院や、2022年に発生した大阪急性期・総合医療センターのランサムウエア被害でも専門家が指摘していた。こうした指摘を受け、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を改定してきた経緯がある。同ガイドラインではもちろん、強固なパスワードの設定や脆弱性管理の徹底を推奨している。
しかし、岡山県精神科医療センターは教訓を生かせず、基本的な対策を講じていなかった。その結果として受けた被害のありようを報告書は詳しく記載している。
最大4万人分の個人情報漏洩
岡山県精神科医療センターが今回の事象を認識したのは2024年5月19日の午後4時。病院の電子カルテが使えなくなったことだった。電子カルテベンダーに連絡し、共同で調査した。その結果、5月20日の午前6時15分ごろにバックアップファイルから不審な拡張子のファイルが見つかった。ここで同ファイルのプログラムやデータを何者かに暗号化されたことを把握した。
被害は病院内のLANだけでなく、病院と離れた場所にある東古松サンクト診療所やデータセンターまで広がっていた。電子カルテシステムなどのサーバー環境約30台、病院情報システム系端末244台が暗号化による障害を起こした。サーバー群のデータを保存していた共有ストレージのデータは全て消えた。
また、岡山県警察は攻撃者による情報窃取と情報漏洩を確認。氏名や住所、生年月日、病名などを含む最大4万人分の個人情報が漏洩した可能性があるとした。
