本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

有名事故・脆弱性

大阪急性期・総合医療センター ランサムウェア事件(2022)— 委託先VPNから侵入、医療のBCP

2022年10月、大阪急性期・総合医療センターがランサムウェア被害を受け、電子カルテが止まり外来・手術・救急が長期に制限されました。侵入口は病院本体ではなく、給食委託事業者のリモート保守用VPN機器の脆弱性放置+流出した認証情報だったと調査委員会報告書は指摘しています。共通パスワード・全員管理者・分離不足で被害が拡大。攻撃手順ではなく、あなたの組織で委託先VPN・認証・ネットワーク分離・医療BCPをどう備えるかを、公開の報告書にもとづき解説します。

公開日 2026-07-18 更新日 2026-07-18 15分で読める

実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録(公式の調査委員会報告書・報道)にもとづく解説です。出典は末尾に明記し、攻撃の再現手順や個人の特定情報は扱いません。委託先・ベンダーの社名は本質でないため出さず、役割で記述します。

委託先VPN
侵入口=給食委託先の保守用機器(脆弱性放置)
共通PW+全員管理者
横展開を許した内部構成と指摘
2か月強
電子カルテ完全復旧までに要した期間
閉域網神話
『閉域網なら安全』の思い込みを報告書が指摘
事故サマリー / CASE FILE
対象
大阪急性期・総合医療センター(地方独立行政法人 大阪府立病院機構)。電子カルテを含む院内システム
発覚
2022年10月31日 未明〜早朝(委託先システムの障害に続き、院内の電子カルテ障害を検知)
侵入口(報告書の指摘)
給食委託事業者のサーバに置かれたリモート保守用VPN機器の脆弱性放置+流出済み認証情報。病院と委託先が常時接続していたため、委託先経由で院内へ到達
拡大の要因(報告書の指摘)
サーバ/PCの共通パスワード・利用者への広範な管理者権限・電子カルテ系のアンチウイルス未導入ネットワーク分離の不足・「閉域網なら安全」という思い込み
影響
電子カルテ停止で外来・予定手術・救急が制限。完全復旧まで2か月強。身代金は支払わなかったと報じられている
本命の対策
委託先接続の棚卸しと外部VPNの更新/認証情報の使い回し廃止・最小権限/ネットワーク分離/EDR・監視/医療BCP(紙運用・オフラインバックアップ・復旧訓練)

何が起きたか(平易に)

ランサムウェア は、システムを暗号化して使えなくし、復旧と引き換えに身代金を要求する攻撃です。この事件で最初に破られたのは、病院の正面ではなく 裏口 でした。病院に給食を納める委託事業者のサーバに、保守のためのVPN機器が置かれていました。調査委員会報告書によれば、その機器は脆弱性が更新されないまま放置され、しかも過去に流出した認証情報で入れる状態だったとされます。

病院の電子カルテと委託先のシステムは、給食の食数データなどをやり取りするため 常時つながって いました。つまり、委託先が破られれば病院内へ届く——委託先の弱点が、そのまま病院の弱点だったのです。侵入後、被害が電子カルテ全体にまで広がった理由も報告書は挙げています。サーバやPCのログイン情報が共通で、多くの利用者が管理者権限を持ち、重要なサーバにアンチウイルスも入っておらず、ネットワークが十分に分離されていなかった。1か所を抜かれると内部で止めるものが乏しく、暗号化が一気に広がりました。結果、外来は停止、予定手術は中止、救急は制限され、電子カルテが完全に戻るまで 2か月強 を要しました。

『閉域網だから安全』は神話——委託先の接続はあなたの攻撃面

報告書が指摘した核心の一つが、いわゆる「閉域網神話」——外部から切り離された網なら安全、という思い込みです。しかし現実には、保守用VPN・委託先との常時接続・リモート保守といった『閉域網に空いた小さな穴』が必ず存在します。穴が一つでもあり、内部が分離されていなければ、閉域網は「一度入れば全部つながっている網」に変わります。委託先・保守業者の接続は、契約上は他社でも、セキュリティ上はあなたの攻撃面の一部として棚卸しすべきです。

攻撃の連鎖は「防御の地図」でもある

この事件も、各段に止め所があった 連鎖でした。攻撃手順ではなく、どこで断ち切れたか として読んでください。

① 委託先の保守用VPN機器の脆弱性放置+流出認証情報で侵入

外部公開の保守用VPNが更新されず、過去に流出した認証情報で入られた。

⊘ 止め所:外部公開VPNの迅速な更新・委託先接続の棚卸し・多要素認証・流出情報の失効

② 病院と委託先が常時接続 → 院内へ到達

給食データ連携のため両者が常時つながり、委託先経由で院内に届いた。

⊘ 止め所:委託先との接続を区画分離・通信を必要最小限に限定・境界で監視

③ 共通パスワード・全員管理者・分離不足で全サーバへ横展開

共通の認証情報と広い権限で、電子カルテ系まで一気に暗号化が拡散。

⊘ 止め所:認証情報の使い回し廃止・最小権限・ネットワーク分離・ログイン監視とロック

④ アンチウイルス/EDR不足・復旧の備え不足で電子カルテが長期停止

重要サーバに防御が薄く、復旧にも時間を要して診療が長く制限された。

⊘ 止め所:EDR/アンチウイルス・オフラインバックアップと復旧訓練・医療BCP(紙運用)

連鎖の各段で“止められた”。多層防御とは、1枚の壁ではなくこの止め所を複数持つこと。

公表された時系列

  1. 2022-10-31

    未明に委託先システムの障害、続いて早朝に院内の電子カルテ障害を検知。ランサムウェア被害と判明し、感染拡大を止めるためシステムを停止。
  2. 2022-11

    外来は原則停止、予定手術は中止、救急は重症等に限定して受入れ制限。紙運用に切り替えて診療を継続。
  3. 2022-12

    基幹システムを段階的に再起動し、外来診療を順次再開。
  4. 2023-01-11

    電子カルテを含むシステムが概ね完全復旧。停止からの本格復旧まで2か月強を要した。
  5. 2023-03-28

    情報セキュリティインシデント調査委員会が報告書を公表。侵入経路・拡大要因・「閉域網神話」などを指摘。

根本原因は「入口」だけではなく“委託先+広がり方”

この事件を「病院がVPNをやられた」で片付けると、要点を外します。入口は委託先でしたが、被害を電子カルテ全体に広げたのは 内部の構成——認証情報の共通化・過大な権限・分離不足でした。入られても被害を局所化できていたか が本質です。

報告書が指摘した弱点(事故時)

  • 委託先の保守用VPNの脆弱性放置+流出認証情報で侵入された
  • 病院と委託先が常時接続し、委託先の弱点が院内に直結
  • サーバ/PCの共通パスワード・利用者への広範な管理者権限
  • 重要な電子カルテ系にアンチウイルス未導入分離不足
  • 閉域網なら安全」という思い込みで対策が手薄

守られた構成(再発防止)

  • 委託先接続を棚卸しし、外部公開VPNを迅速に更新・多要素認証
  • 委託先との通信を区画分離し必要最小限に限定
  • 認証情報の使い回し廃止最小権限・ログイン監視とロック
  • 重要サーバにEDR/アンチウイルス・ネットワーク分離
  • 医療BCP(紙運用手順・オフラインバックアップ・復旧訓練)

医療のBCP:システムが止まっても“診療は止められない”

一般企業なら「サービス停止」で済むことも、病院では診療の継続が問われます。だからこそ医療機関のBCPは、電子カルテが長期停止した前提で紙運用に切り替えて診療を続ける手順、検査・投薬・会計の代替フロー、オフライン/世代管理されたバックアップ復旧訓練まで含めて平時に用意しておく必要があります。身代金の支払いは復旧も暴露停止も保証しません。頼るべきは事前の分離・バックアップ・BCPです。(関連:旧型のVPN/ネットワーク機器が侵入口になった カプコンの事件、ネットワーク分離不足で全社波及した KADOKAWAの事件

あなたの環境での再発防止

医療機関に限らず、委託先・保守業者の接続を持つすべての組織に当てはまります。優先順の対策です。

1

委託先・保守の接続を『自分の攻撃面』として棚卸し

誰の・どの機器が・どの経路で自組織につながっているかを可視化する。とくに外部公開のVPN機器は最優先で最新に保ち、使わない接続は閉じる。委託先にも同水準のパッチ・認証を契約と運用で求める。

2

認証情報の使い回しをやめ、最小権限にする

サーバ/PCの共通パスワードを廃止し、アカウントを分け、全員管理者をやめて最小権限に。可能な範囲で多要素認証を課し、ログイン失敗のロックと監視を設ける。流出済み認証情報は失効させる。

3

ネットワークを重要度で分離する(セグメンテーション)

委託先接続・電子カルテ・事務系などを別区画に分け、区画をまたぐ通信を必要最小限に絞る。「閉域網だから安全」ではなく、閉域網の中でも分離する。組織のセキュリティ最低限に組み込む。

4

重要サーバの防御と、医療BCP・復旧を備える

電子カルテ等の重要サーバにEDR/アンチウイルスを入れる。そして「主要システムが長期停止したらどう診療・業務を続け、どう戻すか」を平時に決め、**紙運用手順・オフラインバックアップ・復旧訓練**を持つ。支払いは復旧を保証しない前提で備える。

当サイトの設計思想と重なる点

この事件から読み取れる要点は、自分の守りは自分の敷地の中だけでは完結しない——委託先や保守の接続が、そのまま自分の攻撃面になるということです。当サイト自身の原則——爆発半径を最小化する・重要なものを分離する・接続と権限を最小に絞る——とちょうど裏返しの関係にあります。「閉域網だから安全」は、1本の共有パスワードで全サーバに届く構成や、単一障害点と同じ危うさを持ちます。接続先を棚卸しし、使い回しをやめ、重要度で分け、止まっても続けられるよう備える——規模や業種を問わず実装できる守りです。

出典(公開記録)

本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順や個人の特定情報、委託先・ベンダーの社名は扱わず、防御の教訓に絞っています。

  • 地方独立行政法人 大阪府立病院機構 大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書」(2023年3月28日公表) — gh.opho.jp
  • 各種報道(侵入経路=委託先の保守用VPN・共通パスワード・閉域網神話・復旧の経緯, 2022–2023) — 公式報告書にもとづく報道

次に読む

よくある質問

Q大阪急性期・総合医療センターの事件で、侵入口はどこでしたか?
A

調査委員会報告書によれば、侵入口は病院本体ではなく、給食を委託していた事業者のサーバに設置されていた『リモート保守用のVPN機器』でした。そのVPN機器は脆弱性が放置されており、かつ2021年に流出した認証情報のリストに該当する情報が使えたと指摘されています。病院と委託先のシステムが常時接続していたため、委託先を経由して病院内へ到達されました。委託先の接続は、実質的に病院自身の攻撃面だったということです。

Qなぜ被害が電子カルテ全体にまで広がったのですか?
A

報告書は、サーバやPCのログインIDとパスワードを共用していたこと、利用者に広く管理者権限が付与されていたこと、重要な電子カルテ系サーバにアンチウイルスが導入されていなかったこと、ネットワークの分離が不十分だったことを指摘しています。加えて『閉域網だから安全』という思い込み(いわゆる閉域網神話)で対策が手薄になっていたとされます。入口を1つ抜かれると、内部を止めるものが乏しく、被害が一気に広がりやすい構造でした。

Q中小の組織や医療機関が学べる、最優先の対策は何ですか?
A

①委託先・保守業者の接続を『自分の攻撃面』として棚卸しし、外部公開のVPN機器を最新に保つ②アカウントの使い回し・共通パスワード・全員管理者をやめ、最小権限にする③重要システムを分離(セグメンテーション)し、区画をまたぐ通信を絞る④重要サーバにEDR/アンチウイルスを入れ、ログイン監視とロックを設ける⑤主要システムが長期停止しても診療・業務を続けられる事業継続計画(BCP)=紙運用の手順とオフラインバックアップ・復旧訓練を持つ。規模を問わず効きます。