大阪急性期・総合医療センターのランサムウェア被害とは？時系列・原因・診療影響を整理

大阪急性期・総合医療センターのランサムウェア被害で何が起きたのか

主役は『電子カルテ停止と診療影響』です

大阪急性期・総合医療センターの事案を読むとき、最も重要なのは電子カルテを含む総合情報システムが利用不能となり、診療機能へ大きな支障が出たことです。病院の公表ページでは、2022年10月31日早朝のサイバー攻撃により、救急診療、外来診療、予定手術などへ影響が及んだと明記されています。したがって、このページの主役は保守用 VPN 一般論ではなく、病院の基幹システム停止と診療継続への打撃に置く方が自然です。

既存の 医療機関ランサムウェア一般論 や 病院の保守用 VPN リスク は、業界横断の危険性や侵入口の一般論を主役にしています。本記事はそれらを前提にしつつ、大阪急性期・総合医療センターで何が起き、どう病院運営へ波及したかを整理する事例整理ハブとして切り分けます。

公表ページ、第3報、調査報告書概要を合わせて読む必要があります

病院の公表ページでは、発災当日の初動、事業継続対策本部会議、紙カルテ運用、約6週間後の電子カルテ再稼働、2023年1月11日の部門システム再開までが整理されています。これに対して、2023年3月28日の調査報告書概要では、攻撃者の侵入手順、技術的発生要因、診療実績への影響、被害額、再発防止策が示されています。つまり、病院側の運営記録と、調査委員会の原因分析は役割が違うと捉える必要があります。

さらに、2022年11月2日の第3報は、復旧前の診療制限を理解するうえで重要です。この時点では復旧のめどが立っておらず、外来診療は一時停止、11月4日から予定手術を一部再開すると説明されています。つまり、この事案は初動から復旧までの長い期間を段階的に読む必要があります。

この事案は被害規模と社会影響が非常に大きい部類です

調査報告書概要では、電子カルテを含む基幹システムサーバーの大部分が暗号化され、院内約 2,200 台の端末にも不正アクセスの痕跡があり、全てのサーバー・端末を初期化して再構築したと整理されています。基幹システム再稼働に 43 日、部門システムを含む全体の診療システム復旧に 73 日を要したとされ、病院の IT 基盤を広範囲に作り直す規模の事案だったことが分かります。

さらに 2022年11月の診療実績では、新入院患者数が前年同月比 33.3%、初診患者数が前年同月比 17.9%、延外来患者数が前年同月比 61.6% と、診療制限の実影響も示されています。つまり本件は、単なる技術障害ではなく、地域医療提供能力へ直撃した病院運営上の重大事案と見るべきです。

三次救急や高度急性期医療を担う病院でこうした停止が起きると、影響は院内で完結しません。周辺医療機関への搬送調整、紹介患者の受け入れ見直し、地域全体の診療負荷の再配分が必要になります。だから大阪急性期の事案は、単一病院の障害ではなく、地域医療の受け皿が一時的に揺らいだ事案としても読む必要があります。

いつ何が起きたのかを時系列で整理

発災当日から事業継続対策本部と紙カルテ運用が始まりました

公表ページによると、2022年10月31日の発災当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が判明したため、幹部職員を招集して状況把握と紙カルテ運用など当面の診療体制を決定しています。同日には、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、内閣サイバーセキュリティセンター、厚生労働省医政局などへ連絡を行い、厚労省から初動対応支援も受けています。

さらに当日正午には「大規模システム障害における事業継続対策本部会議」が開かれ、医療現場の状況把握、当面の医療継続方針、紙カルテ運用のすり合わせが始まりました。つまり、病院運営側はサイバー攻撃を災害対応の一種として扱い、事業継続の枠組みへ乗せ始めたと読めます。

11月上旬は『復旧めどなし』と『部分再開』が併記されていました

2022年11月2日の第3報では、電子カルテシステムの復旧めどは立っておらず、通常診療ができない状況とされています。その一方で、11月4日から予定手術を一部再開する予定とし、外来診療は引き続き一時停止すると案内しています。つまり病院の現場では、全面停止と部分再開が入り混じる移行期が続いていたことが分かります。

事例整理ハブとして重要なのは、この期間を単純な「停止中」で括らないことです。病院は診療機能をゼロか100かで動かせるわけではなく、紙運用、一部再開、部門ごとの復旧を刻みながら進めます。この事案は、医療現場の継続性がどれだけ IT 基盤に依存しているかを非常に強く示しています。

電子カルテ再稼働まで43日、全体復旧まで73日という長期戦でした

公表ページでは、障害発生から約6週間後に電子カルテシステムを含む基幹システムを再稼働し、12月中に病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも 2023年1月11日に再開して診療体制が復旧したとされています。調査報告書概要では、これが基幹システム再稼働まで43日、全体の診療システム復旧まで73日と数値化されています。

これは、復旧の主役が単なるサーバー再起動ではなく、広範囲のサーバー・端末の初期化と再構築、脆弱性改善、段階的な運用再開だったことを意味します。したがって大阪急性期の事案は、短期復旧の障害ではなく、長期の再構築事案として見る方が実態に近いです。

調査報告書から見える原因と被害拡大の構造

入口は『給食事業者に設置された VPN 機器』から始まっています

調査報告書概要では、攻撃者の手順の最初の段階として、給食事業者が設置・運営する給食システムに、情報基盤構築事業者がリモート保守のために設置した VPN 機器の脆弱性を用いて侵入したと整理されています。漏えいされ公開されていた ID・パスワード情報を用いて侵入された可能性もあるとされていますが、少なくとも概要版で第一に置かれているのは、供給網側 VPN 機器の脆弱性と管理不備です。

その後、給食事業者内データセンターで脆弱な認証情報により攻撃が拡大し、病院給食サーバーへ遠隔接続で侵入、他サーバー認証情報を窃取し、最終的に電子カルテを含む基幹システムへ波及したと説明されています。つまり、入口は病院本体ではなく供給網側で、そこから院内へ横展開したという構図です。

被害拡大を支えたのは、常時接続の遠隔保守と共通認証情報でした

報告書概要では、技術的発生要因として、リモート保守を許可する基準が曖昧で遠隔接続が常時接続となっていたこと、病院給食サーバーと他サーバーで ID・パスワードが共通で窃取が容易だったことが整理されています。つまり攻撃者は、入口を突破した後、常時接続の保守経路と弱い認証運用を使って病院内を横移動したと理解できます。

ここが 公開 RDP の危険性 や ラテラルムーブメント対策 とつながる論点です。ただし、このページでは広い一般論へ逃げすぎず、あくまで大阪急性期の報告書が何を原因として列挙したかを主役にします。

もう一つ重要なのは、侵入経路が一つでも、被害拡大は複数の管理不備が重なって成立したことです。つまり「この脆弱性だけ塞げばよかった」と読むと実態を外します。外部接続の許可基準、認証運用、ネットワーク分離、事業継続計画が一つでも強ければ、ここまで長い停止には広がらなかった可能性が高いと読み取れます。

根本原因は技術だけでなく、平時の準備不足と IT ガバナンスでした

公表ページでは、サイバー攻撃によるシステム障害を想定した事業継続計画は策定されていなかったと明記されています。報告書概要でも、VPN やファイアウォールの保守・脆弱性管理の役割分担曖昧さ、ネットワーク構成の弱さ、IT ガバナンス不足が再発防止策とセットで示されています。つまり、この事案は脆弱性ひとつの問題ではなく、病院全体の統制と準備不足が噴き出した事案と読むべきです。

だからこそ、公表ページの最後でも「IT ガバナンスの確立」に全力で取り組むと表明されています。ここは サイバーセキュリティ経営ガイドライン や ランサムウェア復旧計画 と接続しやすいポイントです。

被害規模と病院運営への影響をどう読むか

診療実績の落ち込みは『病院運営への実被害』として見るべきです

調査報告書概要では、2022年11月の新入院患者数が前年同月比 33.3%、初診患者数が前年同月比 17.9%、延外来患者数が前年同月比 61.6% となっています。これは技術障害の副次的数字ではなく、診療機能がどこまで止まり、地域医療へどれだけ影響したかを示す指標です。病院事案では、感染端末数や侵入経路だけでなく、診療実績の減少まで読まないと事案の重さを取り違えます。

病院では予約延期、救急受け入れ制限、紙カルテ移行、手術再開の優先順位調整が連動して起こります。そのため本件は「電子カルテ停止」という一文だけで済む話ではなく、病院の現場運営がどれほど手作業と判断調整を強いられたかを含めて読む必要があります。

2,200台規模の端末再構築は、復旧計画の重さそのものです

報告書概要で示された約 2,200 台の端末や多数のサーバーの初期化・再構築は、単なる IT 部門の負荷ではありません。端末の再構築は、診療部門ごとの利用再開、機器接続、部門システムの連携確認、教育、紙運用からの戻しまで伴います。つまり 43 日、73 日という数字は、端末と業務を段階的に戻す復旧計画の重さを表しています。

ここから分かるのは、病院のサイバー事故では「バックアップがあるか」だけでは足りず、誰がどの順に使える状態へ戻すか、紙運用からどう復帰するかまで平時から決めておく必要があるということです。復旧計画は技術復旧と診療再開の二本立てで考える必要があります。

この視点は、医療機関でありがちな「情報システム部門が復旧できれば現場も戻る」という誤解を正すうえでも重要です。実際には、看護、検査、薬剤、会計、地域連携の各部門が順番に戻らないと通常診療は再開できません。大阪急性期の復旧期間の長さは、技術復旧と業務復旧が別物であることをはっきり示しています。

さらに病院では、通常診療へ戻すだけでなく、安全に戻す必要があります。電子カルテが動き始めても、部門システムや連携先との整合が取れていなければ、医療安全上の新たな危険を生みます。復旧に時間がかかったのは弱さの証明というより、診療継続と患者安全を両立しながら戻す難しさを示していると見るべきです。

病院では外部保守接続の見直しが特に難しく、だからこそ重要です

医療機関では、検査機器、給食、薬剤、会計、部門システムなどで多くの外部保守接続が必要になります。だから「外部接続を全部止める」という単純な対策は取りにくい一方、接続先、許可条件、監査、緊急停止条件が曖昧だと今回のような長期障害につながります。大阪急性期の報告書は、医療現場の現実と遠隔保守の統制不足がぶつかった事例としても読めます。

そのため医療機関では、外部保守を許可するなら、接続先台帳、管理責任者、例外期限、緊急停止手順、事後点検まで一緒に持つ方が現実的です。これは一般企業以上に、社会的影響の大きい病院で重い論点です。

この事案の後に病院が見直したいポイント

保守接続、委託先、公開面の責任分界を一枚に戻す必要があります

大阪急性期の事案から実務的に学べるのは、保守接続の存在そのものより、誰がどの接続を許可し、どこまで管理し、異常時に誰が止めるかを一枚で説明できる状態が必要だということです。委託先、再委託先、病院情報システム部門、ベンダー、保守事業者が別々の資料を持っているだけでは、事案時に責任分界が見えません。

したがって見直しでは、外部接続台帳、保守用認証情報、委託契約、公開接点、障害連絡先を別々に持つのではなく、関連づけて見られるようにした方が安全です。そうすると次回の障害時も、調査対象と停止対象を早く決められます。

紙運用、代替運用、診療再開判断を事前に準備する必要があります

公表ページでは、紙カルテ運用や診療制限の判断が初動から重要な役割を果たしました。つまり病院では、技術対策だけでなく、システムが止まったときに診療をどう続けるかが同じくらい重要です。紙運用の手順、誰が再開を判断するか、どの診療から戻すか、患者や連携先へどう案内するかまで決めておかなければ、復旧がさらに長引きます。

これは厚生労働省の医療機関向けサイバーセキュリティ対策チェックリストでも強調される視点です。大阪急性期の事案は、その必要性を非常に分かりやすく示した事例と言えます。

加えて、見直しは情報システム部門だけで完結しません。診療部門、総務、委託先管理、経営層が一緒に「どの接続を残すか」「例外を誰が承認するか」「停止時の代替運用をどこまで練習するか」を決める必要があります。大阪急性期の報告書が IT ガバナンスに踏み込んでいるのは、技術対策だけでは再発防止が成立しないと示しているからです。

つまり本件の教訓は、保守 VPN を狭めることだけではありません。委託先の役割分担、病院側の接続台帳、診療停止時の判断基準、復旧後の是正計画までを同じ経営課題として扱うことにあります。そこまで一体で見直して初めて、次回の長期停止を短くする準備になります。

事案の規模が大きかったからこそ、平時の備えがどこまで必要かを具体的に示した点にも価値があります。

この具体性が、本件を医療機関全体の教訓として読み継ぐ意味につながります。

大阪急性期事例のあとにASM診断 PROで見直したい外部接続点

ASM診断 PRO は電子カルテ内部の復旧そのものを担う製品ではありません。ただし、大阪急性期の事案のように保守用接続、委託先側の外部接続、病院側の公開面がどうつながっていたかを外から説明し直す必要がある場面では、棚卸しの補助線として使いやすいです。事案後に現場で困るのは、「いま何本の外部接続が残っているか」「どの接続が常時接続か」「どの管理画面がまだ外から見えるか」をすぐ説明できないことです。

とくに報告書概要では、病院側に十数か所の外部接続があったこと、給食事業者・ベンダー・保守経路が複雑に絡んでいたことが見えます。ASM診断 PRO を使って公開資産、ログイン画面、管理責任者、不明な接続面、差分露出を把握すると、事案後の再発防止と外部説明の起点を作りやすくなります。病院の情報システムでは内部対策だけでなく、外部から見える接続点の把握も重要です。

大阪急性期のような事案では、内部復旧だけでは次回の再発防止は固まりません。保守用接続、公開ドメイン、古い管理画面、用途不明ホストを外部観点から洗い直し、台帳へ戻し、管理責任者と結び付けるところまでやって初めて、再発防止策が現場運用へ落ちます。ASM診断 PRO はその入口として位置づけられます。

特に医療機関では、委託先や保守ベンダーの接続が診療継続のために必要なことも多く、単純な遮断では片付きません。だからこそ「何を残し、何を閉じ、誰が例外を承認するか」を外部接続台帳へ戻す作業が重要です。ASM診断 PRO は、まず外から見える面を洗い出して、現実の公開面と運用資料の差分を把握する起点として使えます。

よくある質問（FAQ）

大阪急性期の事案で何が最も大きな被害でしたか

電子カルテを含む総合情報システムが利用不能となり、救急診療、外来診療、予定手術など病院の診療機能へ大きな支障が生じたことです。基幹システム再稼働まで43日、全体復旧まで73日を要したと報告書概要で整理されています。

原因は何でしたか

調査報告書概要では、給食事業者側 VPN 機器の脆弱性放置、常時接続の遠隔保守、共通で脆弱な認証情報、ネットワーク分離不足、IT ガバナンス不足などが原因として整理されています。

個人情報は漏えいしましたか

報告書概要では、個人情報漏えいの可能性は極めて低いとしつつ、当時調査継続中とされています。事案の中心論点は個人情報漏えいよりも、電子カルテ停止と診療影響の大きさです。

診療はどれくらい止まったのですか

11月2日の第3報時点では外来診療停止が続いており、11月4日から予定手術を一部再開すると案内されました。電子カルテを含む基幹システムの再稼働は約6週間後、全部門システムの再開は 2023年1月11日です。

この事案から何を学ぶべきですか

保守 VPN、外部接続、常時接続の遠隔保守、共通認証情報、ネットワーク分離、事業継続計画、IT ガバナンスを別々ではなく一連の運用問題として見ることです。医療機関では診療継続へ直結するため、平時準備の重みが非常に大きいと分かります。

まとめ

大阪急性期・総合医療センターのランサムウェア被害は、2022年10月31日の電子カルテ障害、11月2日の診療制限継続、約6週間後の基幹システム再稼働、2023年3月の調査報告書概要という流れで読むと整理しやすくなります。主役は個人情報漏えい一般論ではなく、電子カルテを含む基幹システム停止が病院運営へどこまで影響したかです。

調査報告書概要から見えるのは、給食事業者側 VPN 機器の脆弱性放置、常時接続の遠隔保守、共通で脆弱な認証情報、ネットワーク分離不足、IT ガバナンス不足が連鎖して、大規模な診療停止へつながった構図です。つまり本件は、ひとつの脆弱性事故ではなく、供給網と病院内統制が重なった事案として読む必要があります。

事案後の実務としては、保守用接続や外部公開面を台帳へ戻し、管理責任者、接続条件、例外運用、差分露出を整理し直すことが重要です。病院のように社会的責任が大きい組織では、内部復旧だけでなく、外部から見える接続点の再点検まで含めて再発防止を組み立てる必要があります。大阪急性期の事案は、技術対策、事業継続、外部接続管理を一体で考えなければ医療提供を守れないことを示した代表例です。

その意味で本件は、医療機関のサイバー対策を「院内の端末防御」だけで捉えてはいけないことも教えています。委託先、保守接続、外部公開面、紙運用、復旧順序まで含めて準備して初めて、同種の長期停止を避けやすくなります。