大阪急性期・総合医療センター▼は2022年10月31日、ランサムウエア(身代金要求型ウイルス)によるサイバー攻撃を受けて、電子カルテシステムなどが使用できなくなった。
同センターは11月7日、被害に関する調査状況について会見を開くとともに資料を公表。ランサムウエアは同センターの委託事業者から侵入した可能性が高いことや、2023年1月の完全復旧を目指すことを明らかにした。
通常診療ができない状態に
攻撃を受けた当日の経緯は次の通り。午前7時過ぎに、事務職員からシステムが使えないとの連絡を受け、午前7時43分にサーバーの障害を確認。午前8時ごろにシステム事業者に連絡した。
午前8時半にシステム事業者が来院して調査を始め、午前9時ごろにランサムウエア攻撃を受けたと確認したため、電子カルテシステムなどを停止した。これにより、緊急以外の手術や外来診療の一時停止など通常診療ができない状況に陥った。
感染した端末の画面には、連絡先のメールアドレスとともに、「すべてのファイルは暗号化した」といった英語の脅迫メッセージが表示されていたという。
コンピューターの半数が感染
ランサムウエアの感染状況や感染経路などは、厚生労働省が派遣した専門チームが調査した。調査結果によると、基幹系サーバー群や仮想統合サーバー群、複数のパソコンなどが感染。感染台数は、稼働しているコンピューターの約半数に当たる約1300台に上った(図1)。Active Directoryサーバーのログを分析した結果、各種サーバーでログオン失敗が大量に生じていた。このため専門チームは、総当たり攻撃▼が行われたとみている。
感染経路について専門チームは、ベルキッチンのシステムからランサムウエアが侵入した可能性が高いとみている。病院側とベルキッチン側のサーバー間においてRDP▼の通信が大量に確認され、その他の通信経路から不審な通信が確認できなかったためだ。ベルキッチンは、大阪急性期・総合医療センターの委託事業者。同センターの入院患者の食事を納入する、院外調理センターである。同センターは食事の注文などに関する情報を院内の栄養給食管理システムに集約し、ベルキッチンのシステムとやりとりしていた。
専門チームは、栄養給食管理システムのサーバーにおいて、攻撃者が使うツールのフォルダーとランサムウエアを確認している。栄養給食管理システムのサーバーには10月31日の明け方にログオンした形跡があるが、病院側関係者でログオンした人は確認できていないという。
