この記事のポイント
- この事例は、2026年2月9日の覚知、2月12日の侵入口特定、2月13日の第1報、2月18日の漏えい規模拡大確認、2月27日の第5報を分けて読むと理解しやすくなります。
- 公式公表では、侵入経路は医療機器保守用 VPN 装置の脆弱性悪用、原因経緯は2026年1月26日の侵入と1月29日のデータ窃取、被害範囲拡大の理由はナースコールサーバーの自動蓄積仕様と整理されています。
- ASM診断 PRO は病院内部のランサムウェア侵入を防ぐ製品ではありませんが、事案後に外部接続点や外から見える公開面を棚卸しし直す入口として使えます。
まず無料で確認する
無料でASM診断を開始
武蔵小杉病院 ランサムウェアで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
武蔵小杉病院のサイバー攻撃で何が起きたのか
事例整理では、侵入口、影響したシステム、漏えいした情報、再発防止策を同じ箱に入れず、公式公表の単位に沿って分けた方が誤読しにくくなります。
基準にすべき資料は 2026年2月27日の第5報です
この事例を短時間で把握するなら、まず2026年2月27日の第5報を基準に置くのが自然です。第5報では、攻撃を受けたシステム、漏えいした個人情報、侵入経路、漏えいの原因、診療状況、再発防止策が一つの資料にまとまっています。患者約13万人、職員と 2021 年以降の臨床実習医学生約 1,700 名という影響規模も、第5報で更新されています。
ただし、第5報だけを読むと、初動で何が起きたかは見えにくくなります。第1報は 2026年2月13日に出ており、2月9日午前1時50分頃の覚知、2月11日の個人情報流出可能性確認、2月13日の患者への個別通知開始が示されています。つまり、この事案は初動報告と最終整理をつないで読む必要があります。
この記事は病院名検索の 事例整理として読むのが自然です
本記事の役割は、「病院の保守用 VPN は危険だ」「医療機関のサイバー対策はこうあるべきだ」と一般論へ広げることではありません。主役はあくまで、日本医科大学武蔵小杉病院が公式に何を公表したかの整理です。保守用 VPN 一般論は今後の外部公開資産台帳や別テーマ記事へ逃がし、このページでは病院名検索の検索意図を崩さないことを優先します。
その意味で、このページは事実整理の起点です。セキュリティレポート雛形と同じく、「何が起き、どこまで影響し、どこまで公表されたか」を固定するために使うのが向いています。
時系列で何が起きたのか
この事案を短時間で追うなら、覚知 → 侵入口特定 → 第1報公表 → 被害規模拡大確認 → 強化作業完了 → 第5報公表の流れで見ると理解しやすくなります。病院の公表は 2026年2月13日から 2月27日に集中していますが、第5報の別表を読むと、実際の侵入は 1 月下旬から始まり、2 月中旬に調査と対外説明が進んだことが分かります。
覚知: ナースコール設備の不具合からランサムウェア攻撃を確認
2026年2月9日午前1時50分頃、病棟のナースコール設備に不具合が発生し、調査の結果、外部からのランサムウェア攻撃を受けていることが判明しました。対象システムとネットワークは直ちに遮断され、文部科学省、厚生労働省、所轄警察へ報告されています。
公表: 初動対応フォレンジック: 医療機器保守用 VPN 装置からの不正アクセスを確認
2026年2月12日、個人情報保護委員会への報告と並行して、初期フォレンジック調査により医療機器保守用 VPN 装置からナースコールシステムへの不正アクセスが確認され、原因となったランサムウェアも特定されました。
公表: 侵入口の特定第1報: 情報漏えいと個別通知を公表し、基幹システムの無事を確認
2026年2月13日の第1報では、個人情報漏えいと患者への個別通知開始が公表されました。同時に、電子カルテや他の医療情報システムへの影響は現時点で確認されておらず、外来・入院・救急は通常通りと案内されています。
公表: 第1報被害拡大確認: 新たに12万件規模の個人情報漏えいを確認
第5報の別表では、2月18日に情報漏えいの精査結果として新たに12万件の個人情報漏えいを確認したと示されています。初期公表の約1万人から、後続調査で対象範囲が大きく広がった転換点です。
公表: 漏えい規模の更新強化作業: 基幹システム全般のセキュリティ強化を完了
2026年2月22日から23日にかけて、電子カルテを含む基幹システム全般のセキュリティ強化作業が実施され、23日午前7時に完了したと第5報で説明されています。その後の監視で正常稼働と安全が確認されました。
公表: 強化作業完了第5報: 被害範囲、侵入経路、再発防止策をまとめて公表
2026年2月27日の第5報では、患者約13万人、職員と実習医学生約1,700名への影響、侵入経路、漏えい拡大の理由、再発防止策がまとめて整理されました。事例整理として見るなら、この資料が現時点の基準です。
公表: 第5報2026年2月9日から2月13日は、初動対応と基幹システム無事の確認が主題でした
第1報と第5報の別表をつなぐと、2026年2月9日午前1時50分頃に病棟のナースコール設備の不具合を起点に攻撃を覚知し、対象システムとネットワークを遮断したこと、2月10日に厚生労働省の初動対応チームの派遣を受けたこと、2月11日に個人情報流出の可能性を確認したことが見えます。
そして 2026年2月13日の第1報では、患者への個別通知開始とあわせて、電子カルテや他の医療情報システムへの影響は現時点で確認されていないこと、外来・入院・救急は通常通りであることが案内されました。ここでの主題は、漏えいが疑われる一方で基幹診療機能は守られているという整理です。
2026年2月18日以降に、漏えい範囲と再発防止策が大きく具体化しました
第5報の別表では、2026年2月18日に新たに 12 万件規模の個人情報漏えいを確認し、翌 2 月 19 日に新たな対象患者へお詫び書面の送付を開始したと説明されています。ここで事案の重みが一段変わります。初期には約 1 万人規模だった理解が、第5報では患者約 13 万人へ更新されるからです。
さらに 2026年2月22日から 23 日にかけて電子カルテを含む基幹システム全般のセキュリティ強化作業が完了し、2月27日の第5報で侵入経路、被害拡大の理由、再発防止策が一本化されました。つまり、2 月中旬までは初動と調査、2 月下旬は最終整理と再発防止と分けて読むのが自然です。
どのシステムと個人情報に影響したのか
| 公表時点 | 主に見える影響 | 読むときの注意点 |
|---|---|---|
| 2026-02-13 第1報 | ナースコールシステムサーバー 3 台、個人情報約 1 万人、患者への個別通知開始 | 初動報告であり、漏えい規模や侵入経緯の最終形ではありません。 |
| 2026-02-17 第4報 | 電子カルテシステム内にウイルスが存在しないことを確認 | 基幹システム無事の確認が主題で、漏えい対象の最終確定はまだ続きます。 |
| 2026-02-18 別表更新 | 新たに 12 万件の個人情報漏えいを確認 | 規模拡大は第5報の別表で確認する必要があり、第1報だけでは足りません。 |
| 2026-02-27 第5報 | 患者約 13 万人、職員と実習医学生約 1,700 名、攻撃対象システム 3+1+1 台 | 第5報が現時点の基準資料です。個人情報項目と除外項目もここで確認します。 |
第5報では、患者約13万人と職員・実習医学生約1,700名への影響が整理されています
2026年2月27日の第5報では、漏えいした個人情報として、外来および入院中の患者約 13 万人、当院職員および 2021 年以降の臨床実習医学生約 1,700 名が示されています。患者側の項目は患者 ID、氏名、性別、住所、電話番号、生年月日で、職員側の項目は職員 ID、氏名、性別、生年月日です。
一方で、第5報では患者カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは現時点で確認されていないと明記されています。事案を過度に広げて解釈しないためには、漏えい確認済みの項目だけでなく、確認されていない項目も同じように押さえる必要があります。
攻撃対象として公表されたのはナースコール系と保守用 VPN 装置です
第5報で攻撃を受けたシステムとして公表されたのは、ナースコールシステムサーバー 3 台、ナースコール病棟端末 1 台、患者バイタル監視システム保守用 VPN 装置 1 台です。なお、患者バイタル監視システムサーバー 14 台への不正侵入は確認されていないとも明記されています。
ここで重要なのは、病院全体の医療情報システムが一括で破られたとは書かれていないことです。公表は、ナースコール系と保守用 VPN 装置を中心に具体化されており、電子カルテや医事会計システムなどの基幹システムは不正アクセスがなかったと整理されています。
診療体制は通常通りと案内されつつ、ナースコールは後日平常復旧とされました
第1報から第5報まで一貫して、外来診療、入院診療、救急受け入れは通常通りと案内されています。一方で、第5報では 2026年2月23日午前7時のセキュリティ強化作業完了後、異常検出と監視を行い、ナースコールシステムは平常通りの状態に回復したと説明されています。
つまり、この事案は「病院機能が全面停止した」事案として読むより、特定の医療情報システムに被害が出た一方で、基幹診療は維持され、ナースコール復旧は別途進んだ事案として読む方が実態に近いです。
公表資料から分かる侵入経路と被害拡大の理由
侵入経路は医療機器保守用 VPN 装置の脆弱性悪用と明記されています
第1報ではすでに侵入経路が医療機器保守用 VPN 装置からと確認されているとされ、第5報では医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスとより明確に書かれています。2026年2月12日の初期フォレンジック調査でも、医療機器用 VPN 装置からナースコールシステムへの不正アクセスを確認したと別表に整理されています。
ここで 事例整理として大事なのは、病院側の公表がどこまで言っているかで止めることです。特定メーカーや個別の製品型番まで広げて推測せず、公式には保守用 VPN 装置の脆弱性悪用と整理されているという範囲を超えない方が事実関係は安定します。
原因経緯は 2026年1月26日の侵入と 1 月 29 日のデータ窃取です
第5報では、2026年1月26日に当該 VPN 装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃取されたと説明されています。当該データおよび CSV ファイルは、後日攻撃者側のリークサイトに公開されたことも確認されています。
これにより、第1報時点では見えにくかった覚知以前の侵入期間が明確になります。2月9日に覚知した時点で初めて攻撃が始まったのではなく、1月下旬から侵入と窃取が進んでいたという構図です。
被害範囲が広がった理由は、ナースコールサーバーの自動蓄積仕様です
第5報では、漏えい範囲拡大の理由について、ナースコールサーバーの仕様上、入院歴の有無にかかわらず患者基本情報が更新される際に自動送信・蓄積される仕組みとなっていたため、と説明しています。これは単に「サーバーに入られたから広がった」という話ではなく、システム仕様が結果として影響範囲を大きくしたという整理です。
再発防止策では、VPN 装置の脆弱性アップデート情報の早期適用、外部接続の原則都度接続化、接続元アドレス制限、管理者パスワード強化、水平展開を防ぐ設定対策、多要素認証導入、職員教育が列挙されています。つまり、対策も単一製品ではなく、接続運用、認証、設定、教育、ガバナンスをまとめて見直す形になっています。
武蔵小杉病院事例のあとに見直したい外部接続点
ベンダー接続の接続条件と都度接続運用を分けて記録する
第5報では都度接続運用への変更が明記されており、恒常接続と例外接続を分けて管理する必要が見えます。
接続元アドレス制限と MFA の適用有無を棚卸しする
第5報の再発防止策でも、接続元制限と多要素認証が技術的対策として前面に出ています。
武蔵小杉病院事例からすぐ一般化できるのは、事案後には外部接続点の棚卸しと接続運用の説明責任が必要になるという点です。保守用 VPN、ベンダー接続、例外的な遠隔保守、固定 IP 制限の有無、都度接続への切り替え手順が整理されていないと、再発防止策を現場へ落とし込みにくくなります。
もちろん、ASM診断 PRO は病院内部のランサムウェア侵入を直接防ぐ製品ではありません。ただし事案の後で、どの外部接続点が public に見えていて、どこに管理責任者がいて、何を優先して洗い直すべきかを外部観点で整理する入口としては使いやすい構成です。
接続点の再棚卸しは、病院の説明責任と復旧運用の両方に効きます
事案後の初動では、外部接続点、管理責任者、状態、最終確認日を一本の入口に寄せると、再点検と説明を始めやすくなります。
病院のように診療を継続しながら影響範囲を見極める環境では、公開面と外部接続点の再棚卸しだけでも価値があります。たとえば、保守ベンダー向け接続、院外公開している問い合わせ導線、放置されたホスト名の有無、担当管理責任者と最終確認日などは、一般論に広げなくてもすぐ整備できます。
武蔵小杉病院事例の次アクション
事案後の外部接続点を、まず無料で棚卸しする
自社ドメインを無料で診断し、外から見える公開面、未管理資産、優先して確認すべき外部接続点を洗い出してください。事案後の再点検と説明を始めやすくなります。
よくある質問(FAQ)
日本医科大学武蔵小杉病院のサイバー攻撃はいつ発覚しましたか?
公式公表では、2026年2月9日午前1時50分頃に病棟のナースコール設備の不具合をきっかけに覚知したとされています。第5報の別表では、同日に対象システムとネットワークを遮断し、関係省庁と警察へ報告したと整理されています。
侵入経路は何と公表されていますか?
第1報と第5報では、侵入経路は医療機器保守用 VPN 装置からと説明されています。第5報ではさらに、医療機器保守用 VPN 装置の脆弱性を悪用した不正アクセスと明記されています。
どの情報が漏えいしたと公表されていますか?
第5報では、患者約13万人の患者 ID、氏名、性別、住所、電話番号、生年月日、そして職員と実習医学生約1,700名の職員 ID、氏名、性別、生年月日が示されています。一方で、患者カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは現時点で確認されていないと公表されています。
電子カルテや診療への影響はありましたか?
第1報から第5報まで、外来診療、入院診療、救急受け入れは通常通りと案内されています。第4報と第5報では、電子カルテや医事会計システムなどの基幹システムへの不正アクセスがなかったこと、2026年2月23日午前7時の強化作業完了後に医療情報システムの正常稼働と安全を確認したことも示されています。
この事例から自社は何を見直すべきですか?
まずは保守用 VPN や外部接続点を台帳へ戻し、管理責任者、接続条件、都度接続か常時接続か、接続元制限、MFA、最終確認日を明文化することです。そのうえで、事案後の公開説明と内部是正をつなぐために、外から見える公開面と外部接点を外部観点で再点検すると次アクションが整理しやすくなります。
まとめ
incident 後は、保守用 VPN や公開面を見つけた順ではなく、owner と優先順位を付けて是正へ戻す流れにした方が次アクションを決めやすくなります。
日本医科大学武蔵小杉病院のサイバー攻撃は、2026年2月9日の覚知、2月12日の侵入口特定、2月13日の第1報、2月18日の漏えい規模拡大確認、2月27日の第5報を分けて読むと理解しやすくなります。公式公表だけでも、どのシステムが攻撃を受け、どの個人情報に影響し、なぜ被害が広がり、どう再発防止へつなげたかを追えます。
事例整理としての価値は、一般論へ広げすぎず、何がいつどこまで公表されたかを一本の線に戻せることです。そのうえで自社側の次アクションとしては、保守用 VPN を含む外部接続点と公開面を棚卸しし、管理責任者と状態を台帳へ戻すことが、現実的な第一歩になります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
2026-02-27 公表。患者約13万人、職員と実習医学生約1,700名、侵入経路、原因経緯、再発防止策、別表の時系列を確認。
2026-02-13 公表。2月9日の覚知、2月11日の個人情報流出可能性確認、患者への個別通知開始、診療状況を確認。
2026-02-17 公表。院内全域の電子カルテシステム内にウイルスが存在しないことを確認した旨を確認。
第1報から第5報までの公表順と公開日を確認。
医療機関のサイバーインシデント時の連絡、最低限の措置、ガイドライン、研修の正本ページ。