近年、台湾の医療機関で相次いでセキュリティ事件が発生し、医療システムのセキュリティの甘さがはっきりと明らかになっています。内部関係者による権限乱用から外部ハッカーの攻撃まで、これらの事件は患者の個人情報の安全を脅かすだけでなく、医療サービスの運営にも影響を及ぼしています。
以下に、過去2年間に台湾で起きた主な医療セキュリティ事件をまとめ、現状の医療セキュリティと対策のポイントを考察します。
医療システムが抱える個人情報とリスク
現代社会において、医療システムは国民の健康を守る重要な防衛線であるだけでなく、多くの非常にプライバシー性の高い個人情報を蓄積する重要なシステムでもあります。一般の人がイメージする個人情報は名前や電話番号、住所に留まることが多いですが、実際には医療機関が保有するデータは金融機関やECプラットフォームよりもはるかに包括的で詳細です。そのため、万が一ハッキングや情報漏洩が発生した場合、その影響は極めて大きなものとなります。
医療機関が保管するデータの種類には以下が含まれます:
● 身分証番号、住所、電話番号、緊急連絡先情報
● 健康保険証番号、診療記録、服薬履歴、医療画像、検査報告書
● 精神科、性感染症、がんなどのセンシティブな病歴
● クレジットカード番号、保険情報、財務請求記録
● 親族関係および医療同意記録
一般的なネット通販や金融データとは異なり、医療データは「変更不可能」な性質を持っています。一度漏えいすると元に戻せません。例えば、スマホやカード番号は変更できますが、過去の病歴や家族の病歴、受診記録は消すことができません。
さらに、近年ハッカー組織やランサムウェアグループが病院を狙う理由は以下の通りです:
1. 医療システムは停止できない特性があり、手術や救急への影響を避けるため、身代金支払いに応じやすい
2. サイバーセキュリティ対策が遅れており、特に地方の病院や診療所は専門のセキュリティ担当者が不足している
3. 機密データが完全に揃っており、高い換金価値がある
資安署(サイバーセキュリティ庁)の統計によると、2023年から2024年にかけて、台湾の複数の大規模医療機関でサイバーセキュリティ事件が発生し、数十万件の患者データが影響を受けました。一部のケースでは医療システムが停止し、救急や外来診療ができなくなる事態も起きています。以下では、過去2年間の主な事件と攻撃手法をまとめました。
2025年 台湾の医療サイバーセキュリティ重大事件まとめ
1. 輔仁大学付属病院:内部関係者による権限乱用事件
これは今年(2025年)5月に大きな話題となったニュースです。2024年10月末、輔仁大学付属病院で、周姓の呼吸療法士が夜勤の独り番中に同僚の複数のアカウントとパスワードを不正に使用し、システムにログイン。自身の労働組合代表選挙の投票で不正投票を行いました。さらにNGROKという遠隔から病院のデータベースにアクセスできる転送サーバーを仕込んでおり、林志玲さん一家を含む少なくとも1万人以上の患者やスタッフの個人情報が流出する恐れがあります。病院側は事後に緊急でプログラムを削除しましたが、当該人物に対する処分は行いませんでした。
これについて病院側は、発覚後すぐに調査局に通報し、内部調査を開始。現在は司法捜査機関と積極的に協力しており、事実が確認されれば規定に基づいて対応するとしています。また、患者の個人情報の流出は確認されていないと強調しています。しかし、この事件は医療機関内の情報セキュリティ管理に対する社会的な関心を引き起こしています。
2. 馬偕記念病院:Crazy Hunter ランサムウェア攻撃
2025年2月、馬偕記念病院(台北本院)は「Crazy Hunter」というランサムウェア攻撃を受けました。600台以上のコンピュータが機能停止し、救急、外来受付、入院システムが大規模に停止。手術や救急サービスにも影響が出て、患者のファイルが暗号化されアクセス不能となりました。この攻撃は、近年の台湾医療史上で最も広範囲に影響を及ぼしたランサムウェア事件とされています。
情報セキュリティ局の調査によると、ハッカーはフィッシングメールを使って病院内の弱いパスワードのアカウントを取得し、Active Directory(AD)管理サーバーに侵入。さらに、ハッカーは自分たちのマルウェアをプリンタードライバーに偽装してウイルス対策ソフトの検出を回避し、グループポリシー(GPO)を利用して内部ネットワーク内にウイルスを拡散しました。重要なデータはすべて暗号化され、画面にはビットコインでの身代金支払いを要求するメッセージが表示されました。
「あなたのすべてのファイルは暗号化されました!復号化のためにビットコインでの支払いが必要です。価格は私たちに連絡するスピードによって変わります。病院のすべてのデータを盗んだことをお詫びします。PACS、EMR、HIS、全職員の個人情報、公式書類データなどが含まれています。バックアップソフトがあるのは知っていますが、それでは国際ニュースへの露出や、機密情報の流出、社会的影響の損失を防げません。もし協力しなければ、すべてのデータ、情報、内部ネットワーク情報を公開します。その時、あなたが直面するのは単なるランサムウェア対応ではなく、社会的非難や、さらに強力な組織からの再攻撃かもしれません。」
同時に、「CrazyHunter」と名乗るハッカーは、馬偕記念病院の電子メールシステムにも侵入し、医師の一人の名義を使ってランサムメッセージを拡散し、同様の攻撃声明を残しました。
馬偕記念病院は即座にサイバーセキュリティの緊急対応を開始し、感染したすべての端末を交換するとともに、診療は一時的に従来の手書きと紙ベースの方法に戻して攻撃期間を乗り切りました。ハッカーから高額な身代金の要求があったものの、病院は会議を開いて支払いを拒否。また、1000万元(約4000万円)を投じて「エンドポイント保護ソフトウェア」を全院に導入し、攻撃の早期警戒を試みました。
さらに、ウイルス拡散を抑えるために、新型コロナウイルス(COVID-19)対策で培った「ゾーニング(分離・分流)」の経験を活かし、各院区間のネットワークを分離し、重要なサーバーの防御と隔離を強化しました。
しかし、これらの対策にもかかわらず、事件後、ハッカーは掲示板「BreachForums」にて、馬偕記念病院の患者データを保有していると主張し、約10万米ドルでの売却を試みています。流出したデータは1,660万件に及び、ファイル容量は32.5GB。台北、淡水、新竹、台東の各院区および台北と新竹の小児病院の患者情報を含んでいます。
【関連報道】2025年2月に発生した馬偕記念病院のランサムウェア攻撃事件の経緯まとめ(随時更新中)
3. 彰化キリスト教病院:ランサムウェア再襲来
彰化キリスト教病院は雲林、彰化、南投地区で唯一の医療センターです。2025年の228連休中、わずか半年前の馬偕記念病院の事件に続き、彰化キリスト教病院でもランサムウェア攻撃が発生しました。院内の複数のサーバーやカルテシステムがハッキングされ、外部の予約システムも停止する事態となりました。
中央社など複数の報道によると、彰化キリスト教病院は3月1日に攻撃を検知し、2日間の対応の末、被害の拡大を防ぐことに成功しました。データ流出や患者の権利侵害は確認されておらず、一部のシステムが一時的に停止したのみでした。
2025年3月4日、衛生福利部情報処より、彰化キリスト教病院も2月初めに馬偕記念病院を襲った「Crazy Hunter」ランサムウェアによる攻撃を受けていたことが発表されました。
規模は馬偕記念病院の事件より小さいものの、短期間に大手医療機関が連続して被害を受けたことで、社会に大きな不安が広がっています。
【関連報道】2025年3月 彰化キリスト教病院 ランサムウェア攻撃事件の経緯まとめ(随時更新中)
4. 長慎病院:システム停止、サイバー攻撃の疑い
2025年4月、桃園市中壢区にある長慎病院のシステムがサイバー攻撃を受けました。長慎病院は5月初めに公式ウェブサイトで侵入を認める声明を発表し、「医療システムのデータが不正なハッカーにより暗号化され、医療業務が停止した」と報告しました。この影響で現場では手動での呼び出しや医師による手書きの処方箋発行が行われ、システムの復旧に全力を尽くしました。
民視新聞ネットによると、この事件は新興ハッカー組織「NightSpire(夜間塔)」による犯行であり、オンライン予約、初診受付、医師の処方箋発行などの機能が停止したとのことです。ダークウェブの情報では、ハッカー組織が約800GBのデータを窃取したとされています。病院側はデータがすべて暗号化されていると強調していますが、医療機関は患者の個人情報や病歴などの詳細情報を保有しているため、個人情報漏洩による患者の権利侵害は看過できない問題です。
医療機関にとってサイバーセキュリティは“オプション”ではなく“必須”の基本装備
過去2年間の台湾における複数の医療セキュリティ事件を振り返ると、ランサムウェア攻撃や内部者による情報漏洩、海外ハッカーの侵入など、どの事件も医療機関のセキュリティ対策の脆弱さ、内部統制の不足、権限管理の甘さが浮き彫りになりました。これらの問題は診療の継続に支障をきたすだけでなく、患者の個人情報やカルテが危険にさらされ、さらに保険や金融、健康保険システムにも影響を与え、国家安全保障に匹敵するリスクをもたらしています。
特に台湾の医療体制は、長年にわたり医療の質や医療機器の更新に注力してきましたが、情報セキュリティへの投資は他の産業に比べて依然として低いのが現状です。多くの病院では、セキュリティ予算が情報機器の維持管理費用の一部として計上されており、独立したセキュリティ予算や専任チームが不足しています。HIS(医療情報システム)、PACS(医療画像システム)、LIS(検査情報システム)などの重要システムが、古いOSや弱いパスワードのまま使用されている場合、それがセキュリティの穴となります。
デジタル医療や遠隔診療、クラウド上の電子カルテの普及が進む中、医療情報のセキュリティはもはや「ハッカーを防ぐかどうか」の問題ではなく、「医療体制を正常に稼働させるための必須条件」となっています。
病院のセキュリティ対策に関する提言
医療機関が早急に見直すべき基本的なセキュリティ対策
- 高権限アカウントの管理強化と異常行動検知の仕組みを導入し、内部権限の乱用を防止する。
- 定期的にペネトレーションテストやソーシャルエンジニアリング訓練を実施し、セキュリティの弱点とスタッフの意識をチェックする。
- 異常事態の即時通報体制とバックアップ計画を整備し、業務の継続を確保する。
- 多要素認証、オフラインバックアップ、内外ネットワークの分離管理を導入し、リスクを低減する。
- 医療情報システムや画像データの暗号化を強化し、データの送受信や保存時の漏洩を防ぐ。
医療セキュリティには「ゼロトラスト構造」の導入が必須
パンデミック後の遠隔診療や電子カルテ、オンライン診療、デジタル決済の普及に伴い、医療機関が扱う個人情報や診療データ、金融情報の量は増加し続けています。同時に、ハッカーの攻撃手法もより高度化・複雑化しており、従来のファイアウォールやウイルススキャン、権限管理だけでは現代のサイバー脅威に対応しきれません。そこで、医療業界のセキュリティ対策の新たな標準として「ゼロトラスト構造(Zero Trust)」が不可欠となっています。
ゼロトラスト構造は、内部・外部を問わずすべてのユーザー、デバイス、アプリケーションに対して多要素認証や権限管理を徹底し、行動異常検知やリアルタイム通報、細かな権限設定でアクセスを制御します。この仕組みにより、重要な医療システムや患者データベースへの不正侵入リスクが大幅に低減されます。
多要素認証(MFA)を組み合わせ、ゼロトラスト構造を速やかに導入することで、医療情報の安全を確保し、患者のプライバシーと医療機関の運営安定を守れます。
未来の医療セキュリティは防御からリスク予測・即時対応へ進化しており、100%の防御は不可能でも、ゼロトラスト構造と柔軟な対応体制で医療機関は安定稼働を続け、患者データの安全と社会の信頼を維持できるのです。
Keypasco ZTNA
「Keypasco ZTNA」はゼロトラストアーキテクチャに基づくセキュリティソリューションです。本製品はアメリカのNIST、CISA基準および台湾政府のゼロトラスト技術フレームワークを参考に設計され、国家資通安全研究院の認証を取得しています。身元認証、デバイス認証、信頼推定技術を通じて、様々な企業や公共・民間部門に包括的かつ強力なセキュリティ保護を提供します。
- 本人認証:多要素認証に対応し、FIDO U2F、FIDO2ソリューションを提供。
- デバイス認証:デバイスの特徴やソフトウェア情報をスキャンし、Keypascoサーバーに保存して認証を実施。
- 信頼推定:人工知能による行動分析を用いてリスクを継続的に評価し、新たな認証をトリガー。
Keypascoは各国の法規制および実務要件に準拠し、現在国内外の政府機関、金融サービス、医療機関、スマートビルディング、ハイテク産業などに導入されています。今後も企業のセキュリティ対応力を高め、さまざまな分野のニーズに応えていきます。