この記事のポイント
- この事例は、2026年2月9日の覚知、2月12日の侵入口特定、2月13日の第1報、2月18日の漏えい規模拡大確認、2月27日の第5報を分けて読むと理解しやすくなります。
- 公式公表では、侵入経路は医療機器保守用 VPN 装置の脆弱性悪用、原因経緯は2026年1月26日の侵入と1月29日のデータ窃取、被害範囲拡大の理由はナースコールサーバーの自動蓄積仕様と整理されています。
- ASM診断 PRO は病院内部のランサムウェア侵入を防ぐ製品ではありませんが、事案後に外部接続点や外から見える公開面を棚卸しし直す入口として使えます。
まず無料で確認する
無料でASM診断を開始
武蔵小杉病院 ランサムウェアで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
武蔵小杉病院のサイバー攻撃で何が起きたのか
事例整理では、侵入口、影響したシステム、漏えいした情報、再発防止策を同じ箱に入れず、公式公表の単位に沿って分けた方が誤読しにくくなります。
基準にすべき資料は 2026年2月27日の第5報です
この事例を短時間で把握するなら、まず2026年2月27日の第5報を基準に置くのが自然です。第5報では、攻撃を受けたシステム、漏えいした個人情報、侵入経路、漏えいの原因、診療状況、再発防止策が一つの資料にまとまっています。患者約13万人、職員と 2021 年以降の臨床実習医学生約 1,700 名という影響規模も、第5報で更新されています。
ただし、第5報だけを読むと、初動で何が起きたかは見えにくくなります。第1報は 2026年2月13日に出ており、2月9日午前1時50分頃の覚知、2月11日の個人情報流出可能性確認、2月13日の患者への個別通知開始が示されています。つまり、この事案は初動報告と最終整理をつないで読む必要があります。
この記事は病院名検索の 事例整理として読むのが自然です
本記事の役割は、「病院の保守用 VPN は危険だ」「医療機関のサイバー対策はこうあるべきだ」と一般論へ広げることではありません。主役はあくまで、日本医科大学武蔵小杉病院が公式に何を公表したかの整理です。保守用 VPN 一般論は今後の外部公開資産台帳や別テーマ記事へ逃がし、このページでは病院名検索の検索意図を崩さないことを優先します。
その意味で、このページは事実整理の起点です。セキュリティレポート雛形と同じく、「何が起き、どこまで影響し、どこまで公表されたか」を固定するために使うのが向いています。
病院名で検索する読者にとっては、一般論よりも公式公表の輪郭を崩さず並べること自体が重要な価値になります。
時系列で何が起きたのか
この事案を短時間で追うなら、覚知 → 侵入口特定 → 第1報公表 → 被害規模拡大確認 → 強化作業完了 → 第5報公表の流れで見ると理解しやすくなります。病院の公表は 2026年2月13日から 2月27日に集中していますが、第5報の別表を読むと、実際の侵入は 1 月下旬から始まり、2 月中旬に調査と対外説明が進んだことが分かります。
覚知: ナースコール設備の不具合からランサムウェア攻撃を確認
2026年2月9日午前1時50分頃、病棟のナースコール設備に不具合が発生し、調査の結果、外部からのランサムウェア攻撃を受けていることが判明しました。対象システムとネットワークは直ちに遮断され、文部科学省、厚生労働省、所轄警察へ報告されています。
公表: 初動対応フォレンジック: 医療機器保守用 VPN 装置からの不正アクセスを確認
2026年2月12日、個人情報保護委員会への報告と並行して、初期フォレンジック調査により医療機器保守用 VPN 装置からナースコールシステムへの不正アクセスが確認され、原因となったランサムウェアも特定されました。
公表: 侵入口の特定第1報: 情報漏えいと個別通知を公表し、基幹システムの無事を確認
2026年2月13日の第1報では、個人情報漏えいと患者への個別通知開始が公表されました。同時に、電子カルテや他の医療情報システムへの影響は現時点で確認されておらず、外来・入院・救急は通常通りと案内されています。
公表: 第1報被害拡大確認: 新たに12万件規模の個人情報漏えいを確認
第5報の別表では、2月18日に情報漏えいの精査結果として新たに12万件の個人情報漏えいを確認したと示されています。初期公表の約1万人から、後続調査で対象範囲が大きく広がった転換点です。
公表: 漏えい規模の更新強化作業: 基幹システム全般のセキュリティ強化を完了
2026年2月22日から23日にかけて、電子カルテを含む基幹システム全般のセキュリティ強化作業が実施され、23日午前7時に完了したと第5報で説明されています。その後の監視で正常稼働と安全が確認されました。
公表: 強化作業完了第5報: 被害範囲、侵入経路、再発防止策をまとめて公表
2026年2月27日の第5報では、患者約13万人、職員と実習医学生約1,700名への影響、侵入経路、漏えい拡大の理由、再発防止策がまとめて整理されました。事例整理として見るなら、この資料が現時点の基準です。
公表: 第5報2026年2月9日から2月13日は、初動対応と基幹システム無事の確認が主題でした
第1報と第5報の別表をつなぐと、2026年2月9日午前1時50分頃に病棟のナースコール設備の不具合を起点に攻撃を覚知し、対象システムとネットワークを遮断したこと、2月10日に厚生労働省の初動対応チームの派遣を受けたこと、2月11日に個人情報流出の可能性を確認したことが見えます。
そして 2026年2月13日の第1報では、患者への個別通知開始とあわせて、電子カルテや他の医療情報システムへの影響は現時点で確認されていないこと、外来・入院・救急は通常通りであることが案内されました。ここでの主題は、漏えいが疑われる一方で基幹診療機能は守られているという整理です。
2026年2月18日以降に、漏えい範囲と再発防止策が大きく具体化しました
第5報の別表では、2026年2月18日に新たに 12 万件規模の個人情報漏えいを確認し、翌 2 月 19 日に新たな対象患者へお詫び書面の送付を開始したと説明されています。ここで事案の重みが一段変わります。初期には約 1 万人規模だった理解が、第5報では患者約 13 万人へ更新されるからです。
さらに 2026年2月22日から 23 日にかけて電子カルテを含む基幹システム全般のセキュリティ強化作業が完了し、2月27日の第5報で侵入経路、被害拡大の理由、再発防止策が一本化されました。つまり、2 月中旬までは初動と調査、2 月下旬は最終整理と再発防止と分けて読むのが自然です。
どのシステムと個人情報に影響したのか
| 公表時点 | 主に見える影響 | 読むときの注意点 |
|---|---|---|
| 2026-02-13 第1報 | ナースコールシステムサーバー 3 台、個人情報約 1 万人、患者への個別通知開始 | 初動報告であり、漏えい規模や侵入経緯の最終形ではありません。 |
| 2026-02-17 第4報 | 電子カルテシステム内にウイルスが存在しないことを確認 | 基幹システム無事の確認が主題で、漏えい対象の最終確定はまだ続きます。 |
| 2026-02-18 別表更新 | 新たに 12 万件の個人情報漏えいを確認 | 規模拡大は第5報の別表で確認する必要があり、第1報だけでは足りません。 |
| 2026-02-27 第5報 | 患者約 13 万人、職員と実習医学生約 1,700 名、攻撃対象システム 3+1+1 台 | 第5報が現時点の基準資料です。個人情報項目と除外項目もここで確認します。 |
第5報では、患者約13万人と職員・実習医学生約1,700名への影響が整理されています
2026年2月27日の第5報では、漏えいした個人情報として、外来および入院中の患者約 13 万人、当院職員および 2021 年以降の臨床実習医学生約 1,700 名が示されています。患者側の項目は患者 ID、氏名、性別、住所、電話番号、生年月日で、職員側の項目は職員 ID、氏名、性別、生年月日です。
一方で、第5報では患者カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは現時点で確認されていないと明記されています。事案を過度に広げて解釈しないためには、漏えい確認済みの項目だけでなく、確認されていない項目も同じように押さえる必要があります。
攻撃対象として公表されたのはナースコール系と保守用 VPN 装置です
第5報で攻撃を受けたシステムとして公表されたのは、ナースコールシステムサーバー 3 台、ナースコール病棟端末 1 台、患者バイタル監視システム保守用 VPN 装置 1 台です。なお、患者バイタル監視システムサーバー 14 台への不正侵入は確認されていないとも明記されています。
ここで重要なのは、病院全体の医療情報システムが一括で破られたとは書かれていないことです。公表は、ナースコール系と保守用 VPN 装置を中心に具体化されており、電子カルテや医事会計システムなどの基幹システムは不正アクセスがなかったと整理されています。
診療体制は通常通りと案内されつつ、ナースコールは後日平常復旧とされました
第1報から第5報まで一貫して、外来診療、入院診療、救急受け入れは通常通りと案内されています。一方で、第5報では 2026年2月23日午前7時のセキュリティ強化作業完了後、異常検出と監視を行い、ナースコールシステムは平常通りの状態に回復したと説明されています。
つまり、この事案は「病院機能が全面停止した」事案として読むより、特定の医療情報システムに被害が出た一方で、基幹診療は維持され、ナースコール復旧は別途進んだ事案として読む方が実態に近いです。
公表資料から分かる侵入経路と被害拡大の理由
侵入経路は医療機器保守用 VPN 装置の脆弱性悪用と明記されています
第1報ではすでに侵入経路が医療機器保守用 VPN 装置からと確認されているとされ、第5報では医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスとより明確に書かれています。2026年2月12日の初期フォレンジック調査でも、医療機器用 VPN 装置からナースコールシステムへの不正アクセスを確認したと別表に整理されています。
ここで 事例整理として大事なのは、病院側の公表がどこまで言っているかで止めることです。特定メーカーや個別の製品型番まで広げて推測せず、公式には保守用 VPN 装置の脆弱性悪用と整理されているという範囲を超えない方が事実関係は安定します。
原因経緯は 2026年1月26日の侵入と 1 月 29 日のデータ窃取です
第5報では、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。当該データおよび CSV ファイルは、後日攻撃者側のリークサイトに公開されたことも確認されています。
これにより、第1報時点では見えにくかった覚知以前の侵入期間が明確になります。2月9日に覚知した時点で初めて攻撃が始まったのではなく、1月下旬から侵入と窃取が進んでいたという構図です。
被害範囲が広がった理由は、ナースコールサーバーの自動蓄積仕様です
第5報では、漏えい範囲拡大の理由について、ナースコールサーバーの仕様上、入院歴の有無にかかわらず患者基本情報が更新される際に自動送信・蓄積される仕組みとなっていたため、と説明しています。これは単に「サーバーに入られたから広がった」という話ではなく、システム仕様が結果として影響範囲を大きくしたという整理です。
再発防止策では、VPN 装置の脆弱性アップデート情報の早期適用、外部接続の原則都度接続化、接続元アドレス制限、管理者パスワード強化、水平展開を防ぐ設定対策、多要素認証導入、職員教育が列挙されています。つまり、対策も単一製品ではなく、接続運用、認証、設定、教育、ガバナンスをまとめて見直す形になっています。
この事例から病院が見直したい運用課題
ベンダー接続の接続条件と都度接続運用を分けて記録する
第5報では都度接続運用への変更が明記されており、恒常接続と例外接続を分けて管理する必要が見えます。
接続元アドレス制限と MFA の適用有無を棚卸しする
第5報の再発防止策でも、接続元制限と多要素認証が技術的対策として前面に出ています。
武蔵小杉病院事例からすぐ一般化できるのは、事案後には外部接続点の棚卸しと接続運用の説明責任が必要になるという点です。保守用 VPN、ベンダー接続、例外的な遠隔保守、固定 IP 制限の有無、都度接続への切り替え手順が整理されていないと、再発防止策を現場へ落とし込みにくくなります。
病院の事後対応では、情報システム部門だけでなく、病棟運用、委託先管理、患者対応の担当まで同じ前提を共有する必要があります。外部接続点の棚卸しは、その共通前提を作るための最初の作業として機能します。
病院の事後対応では、情報システム部門だけでなく、病棟運用、委託先管理、患者対応の担当まで同じ前提を共有する必要があります。外部接続点の棚卸しは、その共通前提を作るための最初の作業として機能します。
もちろん、ASM診断 PRO は病院内部のランサムウェア侵入を直接防ぐ製品ではありません。ただし事案の後で、どの外部接続点が外から公開状態で見えていて、どこに管理責任者がいて、何を優先して洗い直すべきかを外部観点で整理する入口としては使いやすい構成です。
通常診療の維持と、復旧対象の説明を分けて持つ必要があります
第1報から第5報までを見ると、病院は外来・入院・救急を通常通りと説明しつつ、ナースコールや周辺システムの復旧と安全確認を別軸で進めています。これは病院の事案対応ではかなり重要な視点で、診療継続の説明と、影響システムの復旧説明を混ぜない方が現場も患者も理解しやすくなるからです。
実務では、「診療は通常通り」「ただしどの補助システムが復旧中か」「追加確認中の項目は何か」を別欄で持つだけでも、院内説明と外部説明が安定します。武蔵小杉病院事例では、この切り分けが比較的丁寧に出ているため、病院名検索の事例としても参考になります。
ベンダー保守接続は、契約より『今つながるか』を優先して確認します
保守用 VPN やベンダー向け接続は、契約一覧に載っていても、現在どの装置が有効で、どの接続元が許可され、どの管理責任者が見ているかが別管理になりやすい領域です。今回の事例でも、再発防止策は「保守接続をなくす」ではなく、都度接続化、接続元制限、脆弱性情報の早期適用、多要素認証といった運用面まで踏み込んでいます。
これは病院だけでなく、外部保守が多い組織全般に当てはまります。外部接続点の棚卸しは、契約書の確認では終わりません。実際に今つながる入口、公開されている導線、停止済みと思っていた旧接続が残っていないかまで見る必要があります。
とくに医療機関では、機器保守、周辺システム、委託先接続が診療継続と結び付いているため、例外を完全になくすことが難しい場面もあります。だからこそ、例外を残すなら接続条件、確認頻度、停止判断者まで明確にしておく方が、再発防止策として実務に落ちやすくなります。
病院の再発防止は、接続点管理と説明更新をセットで進めます
武蔵小杉病院事例では、侵入経路の特定、漏えい範囲の更新、再発防止策の整理が段階的に進みました。病院の事後対応では、この更新に合わせて患者説明、院内周知、所管官庁への報告も動きます。だからこそ、接続点管理だけを直して終わるのではなく、説明内容の更新とセットで進める方が実務に合います。
たとえば「どの保守接続を都度接続へ切り替えたか」「どの接続元制限を追加したか」「どの装置の脆弱性情報をいつ適用したか」を説明できるようにしておくと、再発防止策が文書上の宣言で終わりません。病院の事後対応では、技術対策と説明更新を同時に進めることが重要です。
武蔵小杉病院事例では、侵入口、公表範囲、再発防止策が後続報で具体化されていきました。この流れを踏まえると、病院の実務では「何を直したか」だけでなく、「どこまで確認でき、どの説明を更新したか」を残すことが重要だと分かります。接続点管理と説明更新を同時に進めるという見方は、医療機関の事案後対応を考えるうえでかなり実践的です。
病院の再発防止は、設定変更の一覧だけでは伝わりません。接続点管理と説明更新を同時に進めることで、患者、職員、委託先に対して一貫した説明をしやすくなります。
ここを分けて考えないことが重要です。
病院の事後対応では、その一体運用が欠かせません。
ここを切り離さないことが再発防止では重要です。
とくに医療機関では、機器保守、周辺システム、委託先接続が診療継続と結び付いているため、例外を完全になくすことが難しい場面もあります。だからこそ、例外を残すなら接続条件、確認頻度、停止判断者まで明確にしておく方が、再発防止策として実務に落ちやすくなります。
漏えい規模が後から広がる前提で、更新履歴を残すべきです
武蔵小杉病院事例では、2月13日の第1報時点と 2 月 27 日の第5報時点で、漏えい対象の理解が大きく広がっています。これは、病院に限らず事案の初期公表では起こり得ることです。だからこそ、最初の件数だけを固定値として扱うのではなく、どの時点で何が分かり、どの資料で更新したかを別表や更新履歴で持つ方が説明責任に向きます。
患者、職員、委託先、規制当局へ説明する場面では、「最初に何を把握し、その後どこを訂正・更新したか」を示せることが重要です。武蔵小杉病院事例は、病院の公表でもこの更新の積み上げが必要になることを示しており、事後報告の運用設計としても参考になります。
病院では、患者説明、所管官庁への報告、院内周知が同時に走るため、更新履歴がないと説明がすぐに食い違います。件数や対象範囲が変わった理由まで残しておくことが、事後対応ではかなり重要です。
事案後の外部接続点整理なら ASM診断 PRO
事案後の初動では、外部接続点、管理責任者、状態、最終確認日を一本の入口に寄せると、再点検と説明を始めやすくなります。
病院のように診療を継続しながら影響範囲を見極める環境では、公開面と外部接続点の再棚卸しだけでも価値があります。たとえば、保守ベンダー向け接続、院外公開している問い合わせ導線、放置されたホスト名の有無、担当管理責任者と最終確認日などは、一般論に広げなくてもすぐ整備できます。
ASM診断 PRO は、病院内部のランサムウェア対策製品ではありません。一方で、事案後に外から見える公開面を洗い出し、どの外部接続点を先に確認し、どこへ管理責任者を付け、どの接点を停止候補へ置くべきかを整理する入口としては使いやすいです。保守用 VPN、問い合わせ導線、古いホスト名、放置された公開管理面のような論点を、院内台帳だけでなく外部観点でも見直せます。
とくに事案の後は、「再発防止策を決めた」だけでは十分ではありません。外から見える導線が本当に減ったか、古い公開面が閉じたか、委託先接続が例外運用のまま残っていないかを再確認できて初めて、説明責任が安定します。診療継続と並行して始めやすい初動として、外部観点の棚卸しはかなり実務的です。
保守用 VPN やベンダー接続を見直すときに、院内台帳だけでは状態が見えにくい場合でも、外部観点の棚卸しを加えると「いま外から届く入口」が整理しやすくなります。技術的な封じ込めの代替にはなりませんが、再発防止策をどこまで実装できたかを確認する補助線としては有効です。
武蔵小杉病院事例の次アクション
事案後の外部接続点を、まず無料で棚卸しする
自社ドメインを無料で診断し、外から見える公開面、未管理資産、優先して確認すべき外部接続点を洗い出してください。事案後の再点検と説明を始めやすくなります。
よくある質問(FAQ)
日本医科大学武蔵小杉病院のサイバー攻撃はいつ発覚しましたか?
公式公表では、2026年2月9日午前1時50分頃に病棟のナースコール設備の不具合をきっかけに覚知したとされています。第5報の別表では、同日に対象システムとネットワークを遮断し、関係省庁と警察へ報告したと整理されています。
侵入経路は何と公表されていますか?
第1報と第5報では、侵入経路は医療機器保守用 VPN 装置からと説明されています。第5報ではさらに、医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスと明記されています。
どの情報が漏えいしたと公表されていますか?
第5報では、患者約13万人の患者 ID、氏名、性別、住所、電話番号、生年月日、そして職員と実習医学生約1,700名の職員 ID、氏名、性別、生年月日が示されています。一方で、患者カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは現時点で確認されていないと公表されています。
電子カルテや診療への影響はありましたか?
第1報から第5報まで、外来診療、入院診療、救急受け入れは通常通りと案内されています。第4報と第5報では、電子カルテや医事会計システムなどの基幹システムへの不正アクセスがなかったこと、2026年2月23日午前7時の強化作業完了後に医療情報システムの正常稼働と安全を確認したことも示されています。
この事例から自社は何を見直すべきですか?
まずは保守用 VPN や外部接続点を台帳へ戻し、管理責任者、接続条件、都度接続か常時接続か、接続元制限、MFA、最終確認日を明文化することです。そのうえで、事案後の公開説明と内部是正をつなぐために、外から見える公開面と外部接点を外部観点で再点検すると次アクションが整理しやすくなります。
まとめ
incident 後は、保守用 VPN や公開面を見つけた順ではなく、owner と優先順位を付けて是正へ戻す流れにした方が次アクションを決めやすくなります。
日本医科大学武蔵小杉病院のサイバー攻撃は、2026年2月9日の覚知、2月12日の侵入口特定、2月13日の第1報、2月18日の漏えい規模拡大確認、2月27日の第5報を分けて読むと理解しやすくなります。公式公表だけでも、どのシステムが攻撃を受け、どの個人情報に影響し、なぜ被害が広がり、どう再発防止へつなげたかを追えます。
事例整理としての価値は、一般論へ広げすぎず、何がいつどこまで公表されたかを一本の線に戻せることです。そのうえで自社側の次アクションとしては、保守用 VPN を含む外部接続点と公開面を棚卸しし、管理責任者と状態を台帳へ戻すことが、現実的な第一歩になります。
とくにこの事例では、通常診療の維持、影響システムの復旧、漏えい範囲の更新、外部保守接続の再点検が別の時間軸で進んでいました。だからこそ、病院の事後対応では「何が止まっていないか」と「何を再確認中か」を分けて持つこと、そして外部接続点を契約書ではなく実際の公開面と接続状態で見直すことが重要です。事案を一度整理して終わらせず、再点検と説明の運用へ戻すことが、次の一歩になります。
さらに、漏えい規模や影響範囲は初報から後報で変わり得ることも前提にしておくべきです。更新履歴を残しながら、患者説明、規制当局対応、院内報告を一本の流れで整えると、事案のあとに判断がぶれにくくなります。武蔵小杉病院事例は、医療機関の事後対応で何を分けて説明すべきかを考える材料としても価値があります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
2026-02-27 公表。患者約13万人、職員と実習医学生約1,700名、侵入経路、原因経緯、再発防止策、別表の時系列を確認。
2026-02-13 公表。2月9日の覚知、2月11日の個人情報流出可能性確認、患者への個別通知開始、診療状況を確認。
2026-02-17 公表。院内全域の電子カルテシステム内にウイルスが存在しないことを確認した旨を確認。
第1報から第5報までの公表順と公開日を確認。
医療機関のサイバーインシデント時の連絡、最低限の措置、ガイドライン、研修の正本ページ。