攻撃者が医療機関を選ぶ3つの理由
ランサムウェア攻撃は無差別ではありません。攻撃者は費用対効果を計算して標的を選びます。医療機関はその計算において、三重に有利な標的です。
ランサムウェア攻撃は無差別ではありません。攻撃者は費用対効果を考えて標的を選びます。「どこを攻撃すれば、最も効率よく稼げるか」という計算をしています。
その計算において、医療機関は三重に有利な標的です。
理由① 患者データの闇市場価値が高い
ダークウェブ上での価格の話をします。
米国のセキュリティ事業者の調査では、クレジットカード情報は1件あたり1〜3ドルで取引される一方、医療記録は数百ドル単位で取引されているという報告があります(出典:CyberPolicy、Komando等の闇市場調査)。価格はサンプル・時期で変動が大きく、絶対値より「桁が違う」という相場感が要点です。
なぜこれほど高いのか。医療情報は変更できないからです。
クレジットカード番号は盗まれたら変えられます。しかし血液型、持病、服薬歴、手術歴は変わりません。保険詐欺、処方薬の不正入手、なりすまし治療——これらに使える情報として、患者データは半永久的に価値を持ちます。
院長が管理している患者情報は、闇市場では高額商品として扱われています。
理由② 診療を止められない=払いやすい
身代金要求型攻撃において、攻撃者が最も気にするのは「相手が払うかどうか」です。
Sophosが実施した医療機関向けランサムウェア調査(2024年・世界15か国の医療機関を対象)では、被害を受けた医療機関のうち過半数が身代金の支払いに応じているという結果が出ています。支払額の中央値は数百万ドル規模で、業界平均より高い水準です。
調査対象は主に欧米の中・大規模病院で、日本の小規模クリニックの実態とは規模感が異なります。ただし**「医療機関は他業種より身代金を払いやすい標的として認識されている」という傾向**は、攻撃者の計算において一貫して観察されています。
なぜこれほど払われるのか。診療を止めると人命に関わるからです。
電子カルテが止まれば処方箋が出せません。予約も消えます。画像診断もできません。1日でも診療を止めることは、患者への影響だけでなく、クリニックとしての信頼を失うことを意味します。攻撃者はその切迫感を利用します。「払わなければ業務が戻らない」という状況が、支払いを引き出す武器になります。
理由③ 守りが薄い
攻撃者は、守りの強い相手を避けます。同じ労力をかけるなら、突破しやすい相手を選びます。
日本医師会総合政策研究機構が全国の医療機関(約1万施設)を対象に実施した実態調査(2023年公表)では、診療所を含む医療機関の現状が明らかになっています。
- 約75%がセキュリティ教育を実施していない
- 約50%がシステム構成図を持っていない
- セキュリティ保険の加入は1割未満
「どこに何のサーバーがあるか分からない」「スタッフはフィッシングメールの区別がつかない」「バックアップの場所を誰も把握していない」。この状態は、攻撃者から見ると侵入のハードルが低い環境です。
VPN機器(社外から社内ネットワークにつなぐための装置)の古い脆弱性を突いて侵入するだけで、あとは内部をゆっくり探索できます。半田病院の事件でも、パスワード管理の不備という単純な穴が入口でした。
三つが重なる標的
整理すると、攻撃者の計算はこうなります。
- 奪ったデータは高く売れる
- 診療を止められたら払わざるを得ない
- そもそも守りが薄く、侵入が容易
この三つが重なる業界は、そう多くありません。医療機関は、攻撃者にとって合理的な選択肢の上位に入り続けています。
実際、Sophosの世界調査では、過去1年でランサムウェア被害を受けたと回答した医療機関の割合が、2021年と比べて2024年には大きく増加したと報告されています。攻撃者の合理的判断だけが動機ではなく、愉快犯や政治的動機による攻撃もあるため、「金銭的に儲からないから狙われない」という前提に立つことはできません。
「うちは小さなクリニックだから」は理由になりません。小さいからこそ、守りが薄く、狙いやすい面もあります。
この現実を知ることが、対策の出発点です。
具体的な対策は別の記事にまとめています。