サイバーセキュリティ企業SonicWallが収集したデータによると、一部のセクターではサイバー攻撃が最大57%減少しており、一定の朗報と言えます。しかし医療業界は、追跡対象の全業種のなかで最も減少幅が小さく、前年比わずか17%の減少にとどまっています。これはプロフェッショナルサービスの−23%、教育の−42%、小売の−46%、製造業の−57%と比べて著しく低い水準です。SonicWall 2026 Healthcare Protect Briefによると、医療機関はサイバー攻撃者から依然として執拗に狙われており、医療業界と他の業種との差は拡大し続けています。
医療機関を攻撃しているランサムウェアグループは(10グループと)他のどの業種よりも多く、これは無差別な攻撃の被害を受けているのではなく、業界が積極的に標的にされていることを示しています。2026年上半期には、医療業界でファイアウォール1台あたりのマルウェアヒット数が、次に多い業種の4倍に達しました。UltraVNCのバッファオーバーフロー攻撃はわずか5か月で1,330万件のヒットを記録しており、ハッカーは医療機関への攻撃においてリモートデスクトップツールを主な標的としています。これほどの規模でリモートデスクトップの脆弱性を悪用された業種は他にありません。
医療機関は、分散した臨床環境やテレメディシンプラットフォーム、サードパーティベンダーのアクセスをサポートするためにリモートデスクトップツールに依存しています。リモートアクセスの認証情報が侵害されると、脅威アクターは臨床システムや患者データへの侵入経路を手に入れ、データを窃取してランサム要求に利用することができます。ネットワークレベルの制御によってデータアクセスを制限したり、多要素認証(MFA)によって侵害された認証情報からのアクセスを防いだりすることは可能です。しかし実際にはMFAが導入されていないケースが多く、また1セットの認証情報は1つのアプリケーションだけでなく、ネットワーク全体へのアクセスを許してしまうことも少なくありません。
SonicWallはまた、医療用コネクテッドデバイスを標的とする243種類の固有の攻撃手法を確認しており、IoT(モノのインターネット)は最も急速に拡大し、かつパッチ適用が最も困難なリスク領域となっています。医療機関には輸液ポンプ、患者モニター、画像診断システムなど多種多様なコネクテッドデバイスが導入されており、防御すべき攻撃対象領域は非常に広大です。残念ながら、攻撃対象領域はセキュリティチームが管理できる速度を上回るペースで拡大し続けています。IoTデバイスは定期的なパッチ適用が行われないことが多く、エンドポイントエージェントを実行できない上、保護された医療情報を含む臨床システムとネットワークセグメントを共有しているケースも珍しくありません。
「医療業界が抱えているのは1つのサイバーセキュリティ問題ではありません。3つの問題です」と、SonicWallのマネージドサービス担当上級副社長(SVP)マイケル・クレアン氏は述べています。多層防御とMFAを欠くリモートデスクトップツール、脆弱なデバイスを抱えた膨大なIoTフットプリント、そして標的型ランサムウェア攻撃の3点です。「攻撃者は、これらをすべて同時に利用する方法をすでに習得しています」
ハッカーが医療業界を標的にし続けるのは、見返りがあまりにも安定しており、防御があまりにも予測可能だからです。「私たちの調査が明確に示しているのは、攻撃者がすでに計算し尽くしているということです。病院はシステムを止めることができず、ダウンタイムは患者の治療結果に直結し、支払いへの圧力は他のどの業種とも比べものになりません。医療業界が、もはや存在しない世界のために構築されたセキュリティアーキテクチャへの依存をやめ、ゼロトラストを将来の取り組みとしてではなく、昨日から必要だったベースラインとして扱い始めるまで、この状況は変わりません」
SonicWallが推奨する即時対応策として、UltraVNCとRDPを内部VLANに制限し、ベンダーへの例外や緊急アクセス用のブレークグラス認証情報を設けることなく、すべてのリモートアクセスにMFAを導入することが挙げられます。また、コネクテッドな医療IoTデバイスは、臨床システムから切り離した隔離ネットワークに配置する必要があります。医療機関はアプリケーションレベルのゼロトラストを実装し、レガシーシステムの脆弱性リスクへの対応を着実に進める必要があります。さらにSonicWallは、臨床ミドルウェアとIoTファームウェアの包括的なインベントリを作成した上で、定められたスケジュールに従って脆弱性にパッチを当てるか、デバイスを隔離するよう推奨しています。
