大阪急性期・総合医療センターのランサムウェア被害とは？時系列・原因・診療影響を整理

大阪急性期・総合医療センターのランサムウェア被害で何が起きたのか

主役は『電子カルテ停止と診療影響』です

大阪急性期・総合医療センターの事案を読むとき、最も重要なのは電子カルテを含む総合情報システムが利用不能となり、診療機能へ大きな支障が出たことです。病院の incident ページでは、2022年10月31日早朝のサイバー攻撃により、救急診療、外来診療、予定手術などへ影響が及んだと明記されています。したがって、このページの主役は保守 VPN 一般論ではなく、病院の基幹システム停止と診療継続への打撃に置く方が自然です。

既存の医療機関ランサムウェア一般論や病院の保守用VPNリスクは、業界横断の危険性や侵入口の一般論を主役にしています。本記事は、それらの一般論を前提にしつつ、大阪急性期・総合医療センターで何が起き、どう病院運営へ波及したかを整理する事例整理ハブとして切り分けます。

病院の incident ページと調査報告書概要を合わせて読む必要があります

incident ページでは、発災当日の初動、BCP 会議、紙カルテ運用、約6週間後の電子カルテ再稼働、2023年1月11日の部門システム再開までが整理されています。これに対して、2023年3月28日の調査報告書概要では、攻撃者の侵入手順、技術的発生要因、診療実績への影響、被害額、再発防止策が示されています。つまり、病院側の運営記録と、調査委員会の原因分析は役割が違うと捉える必要があります。

さらに、2022年11月2日の第3報は、復旧前の診療制限を理解するうえで重要です。この時点では復旧のめどが立っておらず、外来診療は一時停止、11月4日から予定手術を一部再開すると説明されています。つまり、この事案は初動から復旧までの長い期間を段階的に読む必要があります。

この incident は被害規模と社会影響がかなり大きいです

調査報告書概要では、電子カルテを含む基幹システムサーバーの大部分が暗号化され、院内約 2,200 台の PC 端末にも不正アクセスの痕跡があり、全てのサーバー・端末をクリーンインストールしたと整理されています。基幹システムサーバー再稼働に 43 日、部門システムを含む全体の診療システム復旧に 73 日を要したとされ、病院の IT 基盤を広範囲に作り直す規模の incidentだったことが分かります。

さらに 2022年11月の診療実績では、新入院患者数が前年同月比 33.3%、初診患者数が前年同月比 17.9%、延外来患者数が前年同月比 61.6% と、診療制限の実影響も示されています。事例整理ハブとしては、単なる技術障害ではなく、病院の地域医療提供能力へ直撃した事故として読む必要があります。

いつ何が起きたのかを時系列で整理

発災当日から BCP 会議と紙カルテ運用が始まりました

incident ページによると、2022年10月31日の発災当日、電子カルテの異常を覚知し、ランサムウェアによる重大なシステム障害が判明したため、幹部職員を招集して状況把握と紙カルテ運用など当面の診療体制を決定しています。同日には、大阪府立病院機構本部、大阪府、大阪府警、大阪市保健所、NISC、厚生労働省医政局などへ連絡を行い、厚労省からサイバーセキュリティ初動対応支援チームの支援も受けています。

さらに当日正午には「大規模システム障害における事業継続対策本部会議」が開かれ、医療現場の状況把握、当面の医療継続方針、紙カルテ運用のすり合わせが始まりました。つまり、病院運営側はサイバー incident を災害対応の一種として扱い、BCP で回し始めたと読めます。

11月上旬は『復旧めどなし』と『部分再開』が併記されていました

2022年11月2日の第3報では、電子カルテシステムの復旧めどは立っておらず、通常診療ができない状況とされています。その一方で、11月4日から予定手術を一部再開する予定とし、外来診療は引き続き一時停止すると案内しています。つまり、病院の現場では全面停止と部分再開が入り混じる移行期が続いていたことが分かります。

事例整理ハブとして重要なのは、この期間を単純な「停止中」で括らないことです。病院は診療機能をゼロか100かで動かせるわけではなく、紙運用、一部再開、部門ごとの復旧を刻みながら進めます。この事案は、医療現場の継続性がどれだけ IT 基盤に依存しているかを非常に強く示しています。

電子カルテ再稼働まで43日、全体復旧まで73日という長期戦でした

incident ページでは、障害発生から約6週間後に電子カルテシステムを含む基幹システムを再稼働し、12月中に病棟での電子カルテ運用を再開し、続いて通常診療に係る部門システムも 2023年1月11日に再開して診療体制が復旧したとされています。調査報告書概要では、これが基幹システム再稼働まで43日、全体の診療システム復旧まで73日と数値化されています。

これは、復旧の主役が単なるサーバー再起動ではなく、2,000台以上のサーバー・端末の初期化とクリーンインストール、脆弱性改善、段階的な運用再開だったことを意味します。したがって、大阪急性期の事案は、短期復旧の incident ではなく、長期の再構築 incidentとして見る方が実態に近いです。

調査報告書から見える原因と被害拡大の構造

入口は『給食事業者に設置された VPN 機器』から始まっています

調査報告書概要では、攻撃者の手順の最初の段階として、給食事業者が設置・運営する給食システムに、情報基盤構築事業者がリモート保守のために設置した VPN 機器の脆弱性を用いて侵入したと整理されています。漏えいされ公開されていた ID・パスワード情報を用いて侵入された可能性もあるとされていますが、少なくとも概要版で第一に置かれているのは、サプライチェーン側 VPN 機器の脆弱性と管理不備です。

その後、給食事業者内データセンターで脆弱な ID・パスワードにより攻撃が拡大し、病院給食サーバーへ RDP 通信で侵入、他サーバー認証情報を窃取し、最終的に電子カルテを含む基幹システムへ波及したと説明されています。つまり、入口は病院本体ではなくサプライチェーン側で、そこから院内へ横展開したという構図です。

被害拡大を支えたのは、常時接続 RDP と共通認証情報でした

報告書概要では、技術的発生要因として、リモート保守を許可する基準が曖昧で RDP 接続が常時接続となっていたこと、病院給食サーバーと他サーバーで ID・パスワードが共通で窃取が容易だったことが整理されています。つまり攻撃者は、入口を突破した後、常時接続の遠隔保守経路と弱い認証運用を使って病院内を横移動したと理解できます。

ここが公開RDPの危険性やラテラルムーブメント対策とつながる論点です。ただし、このページでは broad な一般論へ逃げすぎず、あくまで大阪急性期の報告書が何を原因として列挙したかを主役にします。

根本原因は技術だけでなく、平時の準備不足と IT ガバナンスでした

incident ページでは、サイバー攻撃によるシステム障害を想定した BCP は策定されていなかったと明記されています。報告書概要でも、VPN やファイアウォールの保守・脆弱性管理の役割分担曖昧さ、ネットワーク構成の弱さ、IT ガバナンス不足が再発防止策とセットで示されています。つまり、この事案は脆弱性ひとつの問題ではなく、病院全体の統制と準備不足が噴き出した incidentと読むべきです。

だからこそ、incident ページの最後でも「IT ガバナンスの確立」に全力で取り組むと表明されています。ここはサイバーセキュリティ経営ガイドラインやランサムウェア復旧計画と接続しやすいポイントです。

大阪急性期事例のあとに見直したい外部接続点

ASM診断 PROで保守接続や公開面を棚卸しするなら

ASM診断 PRO は電子カルテ内部の復旧そのものを担う製品ではありません。ただし、大阪急性期の事案のように保守用接続、サプライチェーン側の外部接続、病院側の公開面がどうつながっていたかを外から説明し直す必要がある場面では、棚卸しの補助線として使いやすいです。incident 後に現場で困るのは、「いま何本の外部接続が残っているか」「どの接続が常時接続か」「どの管理画面がまだ外から見えるか」をすぐ説明できないことです。

とくに報告書概要では、病院側に10数か所の外部接続があったこと、給食事業者・ベンダー・保守経路が複雑に絡んでいたことが見えます。ASM診断 PRO を使って公開資産、ログイン画面、owner、不明な接続面、差分露出を把握すると、incident 後の再発防止と外部説明の起点を作りやすくなります。

病院の情報システムでは内部対策だけでなく、外部から見える接続点の把握も重要です。ASM診断 PRO は、保守接続や公開面を外部観点で点検し直す入口として位置づけられます。

よくある質問（FAQ）

大阪急性期の incident で何が最も大きな被害でしたか？

電子カルテを含む総合情報システムが利用不能となり、救急診療、外来診療、予定手術など病院の診療機能へ大きな支障が生じたことです。基幹システム再稼働まで43日、全体復旧まで73日を要したと報告書概要で整理されています。

原因は何でしたか？

調査報告書概要では、給食事業者側 VPN 機器の脆弱性放置、常時接続 RDP、共通で脆弱な認証情報、ネットワーク分離不足、IT ガバナンス不足などが原因として整理されています。

個人情報は漏えいしましたか？

報告書概要では、個人情報漏えいの可能性は極めて低いとしつつ、当時調査継続中とされています。incident の中心論点は個人情報漏えいよりも、電子カルテ停止と診療影響の大きさです。

診療はどれくらい止まったのですか？

11月2日の第3報時点では外来診療停止が続いており、11月4日から予定手術を一部再開すると案内されました。電子カルテを含む基幹システムの再稼働は約6週間後、全部門システムの再開は 2023年1月11日です。

この事案から何を学ぶべきですか？

保守 VPN、外部接続、常時接続 RDP、共通認証情報、ネットワーク分離、BCP、IT ガバナンスを別々ではなく一連の運用問題として見ることです。医療機関では診療継続へ直結するため、平時準備の重みが非常に大きいと分かります。

まとめ

大阪急性期・総合医療センターのランサムウェア被害は、2022年10月31日の電子カルテ障害、11月2日の診療制限継続、約6週間後の基幹システム再稼働、2023年3月の調査報告書概要という流れで読むと整理しやすくなります。主役は個人情報漏えい一般論ではなく、電子カルテを含む基幹システム停止が病院運営へどこまで影響したかです。

調査報告書概要から見えるのは、給食事業者側 VPN 機器の脆弱性放置、常時接続 RDP、共通で脆弱な認証情報、ネットワーク分離不足、IT ガバナンス不足が連鎖して、大規模な診療停止へつながった構図です。つまり、本件はひとつの脆弱性事故ではなく、サプライチェーンと病院内統制が重なった incidentとして読む必要があります。

incident 後の実務としては、保守用接続や外部公開面を台帳へ戻し、owner、接続条件、例外運用、差分露出を整理し直すことが重要です。病院のように社会的責任が大きい組織では、内部復旧だけでなく、外部から見える接続点の再点検まで含めて再発防止を組み立てる必要があります。