本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

有名事故・脆弱性

つるぎ町立半田病院 ランサムウェア事件(2021)— VPNの未パッチCVEとバックアップの落とし穴

2021年10月、徳島県のつるぎ町立半田病院がランサムウェア(LockBit)被害を受け、電子カルテが停止、約8.5万人分の記録が使えなくなり、通常診療再開まで約2か月を要しました。侵入口は、外部公開VPN装置の既知の脆弱性(CVE-2018-13379)を未パッチのまま放置し、流出済みの認証情報が使えた点だと有識者会議報告書は指摘しています。さらに本番とバックアップが同一ネットワークにあり両方暗号化されました。攻撃手順ではなく、あなたの組織で外部VPNの更新・認証情報・オフラインバックアップをどう備えるかを、公開の報告書にもとづき解説します。

公開日 2026-07-18 更新日 2026-07-18 16分で読める

実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録(公式の有識者会議報告書・報道)にもとづく解説です。出典は末尾に明記し、攻撃の再現手順や個人の特定情報は扱いません。関係ベンダー・業者の社名は本質でないため出さず、役割で記述します。

CVE-2018-13379
未パッチで放置された外部VPNの既知脆弱性
本番+バックアップ
同一網で両方が暗号化=復旧不能に
約8.5万人分
使えなくなった患者記録
約2か月
通常診療の再開までに要した期間
事故サマリー / CASE FILE
対象
つるぎ町立半田病院(徳島県)。電子カルテを含む院内システム
発覚
2021年10月31日 未明(プリンタから脅迫文が出力され、電子カルテ・医事システムの障害で発覚)
侵入口(報告書の指摘)
外部公開のVPN装置の既知脆弱性 CVE-2018-13379 を未パッチで放置。該当機器の認証情報が流出しており失効させていなかった
拡大・復旧不能の要因(報告書の指摘)
短いパスワード・アカウントロックなし・利用者が管理者権限で横展開が容易。本番とバックアップが同一ネットワークで両方暗号化。「閉域網なら安全」の思い込み
影響
電子カルテ停止で診療に大きな支障、約8.5万人分の記録が利用不能。通常診療再開まで約2か月
本命の対策
外部公開VPN/機器の既知CVEの機械監視と迅速なパッチ/流出・使い回し認証情報の失効・多要素認証・最小権限・ロック/3-2-1+オフライン・イミュータブルなバックアップ/ネットワーク分離/医療BCP

何が起きたか(平易に)

ランサムウェア は、システムを暗号化して使えなくし、復旧と引き換えに身代金を要求する攻撃です。この事件の入口は、高度なゼロデイではありませんでした。病院がインターネットに向けて置いていた VPN装置 に、2019年に公表されていた既知の脆弱性(CVE-2018-13379) が残っていたのです。しかも、この脆弱性を突いて過去に認証情報が流出しており、そのリストに病院も含まれていました。公表済みの既知の穴を長く塞がず、流出した鍵も無効化していなかった——攻撃者にとっては開いた扉でした。

侵入後、被害が広がった理由も報告書は挙げています。短いパスワード、ログイン失敗のロックなし、利用者が管理者権限——1台に入られれば、管理者として全体へ横展開できる状態でした。そして最悪だったのは、本番システムとバックアップが同じネットワーク上にあり、両方とも暗号化されたことです。「バックアップはある」はずが、本番と一緒にやられて復旧の頼りにならなかった。結果、電子カルテは停止し、通常診療の再開まで 約2か月 を要しました。

『バックアップがある』と『復旧できる』は別物

バックアップは、存在するだけでは保険になりません。本番と同じネットワーク・同じ権限で到達できる場所に置けば、ランサムウェアは本番もバックアップもまとめて暗号化します(半田病院はこれで両方失いました)。効くのは、本番から隔離し、オフライン/オフサイトに置き、世代管理し、できれば書き換え不可(イミュータブル)にしたバックアップです。そして実際に戻せるかを訓練して初めて「復旧できる」と言えます。合言葉は 3-2-1+オフライン。

攻撃の連鎖は「防御の地図」でもある

この事件も、各段に止め所があった 連鎖でした。攻撃手順ではなく、どこで断ち切れたか として読んでください。

① 外部VPNの既知脆弱性(CVE-2018-13379)を未パッチ放置+流出認証情報で侵入

2019年公表の脆弱性が残り、流出した認証情報が失効されていなかった。

⊘ 止め所:外部公開機器のCVE機械監視と迅速パッチ・流出認証情報の失効・多要素認証

② 短いPW・ロックなし・全員管理者で横展開

1台への侵入から、管理者権限で院内の広範囲へ広がった。

⊘ 止め所:強い認証・アカウントロック・最小権限・ネットワーク分離・ログイン監視

③ 本番とバックアップが同一網 → 両方暗号化

バックアップが本番から隔離されておらず、まとめて暗号化された。

⊘ 止め所:オフライン/オフサイト・世代管理・イミュータブルなバックアップ(3-2-1)

④ 電子カルテ長期停止・診療に大きな支障

復旧に約2か月を要し、地域医療に大きな影響が出た。

⊘ 止め所:復旧訓練・医療BCP(紙運用)・迅速なインシデント対応と情報公開

連鎖の各段で“止められた”。多層防御とは、1枚の壁ではなくこの止め所を複数持つこと。

公表された時系列

  1. 2021-10-31

    未明、プリンタから脅迫文が出力。電子カルテ・医事システムが停止し発覚。同日に記者会見。
  2. 2021-11

    紙運用に切り替えて診療を継続。復旧に向けた調査と支援を開始。データ復元の可能性が報告される。
  3. 2021-12

    電子カルテデータの復元を確認。段階的に復旧作業を進める。
  4. 2022-01-04

    システムを再稼働し、通常診療を再開(感染から約2か月)。
  5. 2022-06

    有識者会議による調査報告書を公表。侵入経路(未パッチのVPN脆弱性)・バックアップ設計・「閉域網神話」などを指摘。

根本原因は「入口」だけではなく“基本の放置”

この事件を「病院がVPNをやられた」で片付けると、要点を外します。使われたのは 公表済みの既知脆弱性 であり、未知の高度な攻撃ではありません。入口も内部も復旧も、基本の運用——パッチ・認証・バックアップ隔離——が抜けていたことが重なりました。報告書は、極めて脆弱なシステムを更新せず販売・稼働させ続けた点を強く問題視しています(ベンダーの社名には触れません)。ただし忘れてはならないのは、運用を外部に委ねても、リスクは自組織のものだということです。

報告書が指摘した弱点(事故時)

  • 外部公開VPNの既知脆弱性(CVE-2018-13379)を未パッチで放置
  • 該当機器の認証情報が流出し、失効されていなかった
  • 短いパスワード・ロックなし・利用者が管理者権限
  • 本番とバックアップが同一ネットワークで両方暗号化
  • 閉域網なら安全」の思い込み・IT体制の不足

守られた構成(再発防止)

  • 外部公開機器のCVEを機械監視迅速にパッチ・多要素認証
  • 流出/使い回し認証情報の失効・最小権限・アカウントロック
  • バックアップを本番から隔離オフライン/オフサイト・世代・改ざん不可
  • ネットワークを重要度で分離(閉域網でも分離)
  • 復旧訓練医療BCP(紙運用)

外部委託しても、リスクは“あなたのもの”

システムの構築・保守をベンダーに任せていても、被害を受けるのも、診療を止められるのも、説明責任を負うのもあなたの組織です。だからこそ、委託先任せにせず、「外部公開機器のCVEは誰が・いつ・どう塞ぐか」「バックアップは本番から隔離されているか」「復旧を訓練したのはいつか」を、契約と運用の両方で自分ごととして確認する必要があります。(関連:委託先の保守VPNが侵入口になった 大阪 病院の事件、旧型VPN機器が侵入口になった カプコンの事件

あなたの環境での再発防止

医療機関に限らず、インターネットに面した機器とバックアップを持つすべての組織に当てはまります。優先順の対策です。

1

外部公開機器の既知CVEを機械監視し、迅速にパッチ

VPN・ファイアウォール等、インターネットに面した機器の既知脆弱性(CVE)を機械監視し、公表されたら速やかに適用する。脆弱性(CVE)対応の実務を運用に組み込み、「公表済みの既知CVEを放置」を構造的に無くす。

2

流出・使い回しの認証情報を断ち、最小権限にする

流出した認証情報は失効し、使い回しをやめ、可能な範囲で多要素認証を課す。アカウントロックとログイン監視を設け、利用者に管理者権限を配らない(最小権限)。

3

バックアップを本番から隔離し、オフラインで持つ(3-2-1)

バックアップを本番と別ネットワーク・別権限に置き、オフライン/オフサイト・世代管理・改ざん不可(イミュータブル)にする。そして実際に戻せるかを定期的に訓練する。「本番と一緒に暗号化された」を防ぐ核心。

4

ネットワークを分離し、医療BCPを備える

重要度でネットワークを分離し(組織のセキュリティ最低限)、「主要システムが長期停止しても診療・業務を続ける」BCP(紙運用手順)を平時に用意する。半田病院は迅速なBCP発動と情報公開が評価された点でもあり、備えが対応の速さを生む。

当サイトの設計思想と重なる点

この事件の芯は、派手な攻撃ではなく、基本の放置が被害を決めたということです。公表済みCVEのパッチ、認証情報の衛生、バックアップの隔離——どれも新しくも難しくもない基本です。当サイト自身の原則——既知の穴は迅速に塞ぐ・鍵を使い回さない・復旧できる備えを持つ——とちょうど裏返しの関係にあります。とりわけ「バックアップはあるが本番と同じ場所」は、1本のAPIキーで全データに届く構成と同じ危うさを持ちます。外部の穴を塞ぎ、鍵を絞り、復旧を隔離して訓練する——規模や業種を問わず実装できる守りです。

出典(公開記録)

本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順や個人の特定情報、関係ベンダー・業者の社名は扱わず、防御の教訓に絞っています。

  • つるぎ町立半田病院「コンピュータウイルス感染事案 有識者会議 調査報告書」(2022年公表) — handa-hospital.jp
  • 各種報道・解説(侵入経路=未パッチのVPN脆弱性 CVE-2018-13379/バックアップ同一網/閉域網神話/復旧の経緯, 2021–2022) — 公式報告書にもとづく報道

次に読む

よくある質問

Q半田病院の事件で、侵入口はどこでしたか?
A

有識者会議報告書によれば、外部に公開されていたVPN装置の既知の脆弱性(CVE-2018-13379)が主な侵入経路と特定されています。この脆弱性は2019年に公表されていましたが未パッチのまま放置され、さらに2021年には該当VPN装置の認証情報が大量に流出し、そのリストに病院も含まれていました。つまり『公表済みの既知脆弱性を長く放置し、流出した認証情報も失効させていなかった』ことが入口になりました。

Qなぜ本番だけでなくバックアップまで使えなくなったのですか?
A

本番システムとバックアップが同一のネットワーク上にあり、両方ともランサムウェアに暗号化されたためです。加えて報告書は、短いパスワード・アカウントロックなし・利用者が管理者権限を持つといった内部の弱さを指摘しており、1台に入られると管理者権限で全体へ横展開しやすい状態でした。バックアップは『存在する』だけでは不十分で、本番から隔離し、オフライン/オフサイトで、書き換えられない形で持ってはじめて復旧の頼りになります。

Q中小の組織や医療機関が学べる、最優先の対策は何ですか?
A

①インターネットに面したVPN・機器の既知脆弱性(CVE)を機械監視し、迅速にパッチ適用する②流出済み・使い回しの認証情報を失効させ、多要素認証と最小権限、アカウントロックを設ける③バックアップを本番から隔離し、オフライン/オフサイト・世代管理・改ざん不可(イミュータブル)で持ち、復旧を訓練する④『閉域網だから安全』という前提を捨て、重要度でネットワークを分離する⑤主要システムが長期停止しても診療・業務を続けられるBCP(紙運用)を用意する。