日本医科大学武蔵小杉病院、ランサムウェア被害の詳細および対策を発表、患者・職員約13万人の個人情報が漏えい

　日本医科大学武蔵小杉病院は2月27日、1月に発生した医療情報システムへのランサムウェア攻撃に関する発表の第5報として、情報漏えいに関する調査結果および対策について公表した。第4報（2月17日）までの時点では患者の個人情報約1万件の漏えいが確認されたとしていたが、今回の発表では新たに判明した被害状況として、患者の個人情報約13万人などが漏えいしたとしている。

　本件は2月9日に病棟のナースコール端末が動作不良になったことで発覚したが、今回の発表では、1月26日に医療機器保守用VPN装置を経由して侵入され、1月29日に病棟端末を介してナースコールサーバー内のデータベースが窃盗されたとしている。2月9日のナースコールの動作不良後、同病院では2月13日に第1報を発表している。

　攻撃を受けたシステムは、ナースコールシステムサーバー3台、ナースコール病棟端末1台、患者バイタル監視システム保守用VPN装置1台。

　個人情報漏えいに関する調査の結果、漏えいが確認された内容は、外来および入院中の患者約13万人の、患者ID、氏名、性別、住所、電話番号、生年月日、および、同院職員および2021年以降の臨床実習医学生1700人の職員ID、氏名、性別、生年月日。2月18日に新たに約12万人分の漏えいが明らかとなったという。なお、患者カルテ情報、クレジットカード情報、マイナンバーカード情報の漏えいは確認されていないとしている。

　当該データおよびCSVファイルが、攻撃者側のリークサイトで公開されたことを確認しているという。ナースコールサーバーの仕様上、入院歴の有無にかかわらず、患者基本情報が更新される際に自動送信・蓄積される仕組みだったため、被害範囲が拡大したとの説明がされている。

　同病院では、2月23日に、院内のシステム全般のセキュリティ強化を完了したとしている。再発防止策として、病院長直属の医療情報安全管理に対するガバナンス体制強化、全職員に対する情報セキュリティ教育の定期的な実施に加えて、VPN装置を含む全システムの定期的な点検、脆弱性アップデートの適用、接続元アドレスの制限、PCの管理者パスワードの変更、などの技術的対策を発表している。

ランサムウェア攻撃および調査の時系列の詳細