サイバー犯罪者、攻撃急増でヘルスケア業界に殺到

2026年2月、ミシシッピ大学メディカルセンターを狙ったランサムウェア攻撃により、業務が2週間以上にわたって停止しました。3月には、ドイツの医療請求サービス事業者Unimedがサイバー攻撃を受けました。同社は同国の大学病院の95%と大規模クリニックの半数以上にサービスを提供しており、この攻撃により数万人規模の患者の機密医療データが窃取されました。

テクノロジー調査会社Comparitechのデータによると、2026年上半期にヘルスケア業界に対するサイバー攻撃は14%増加しました。これは全業界平均の増加率11%をやや上回る水準です。病院や診療所といったヘルスケアプロバイダーへの攻撃は緩やかな増加にとどまった一方、ヘルスケア関連事業者(businesses)は2025年下半期比で35%、前年同期比では110%という大幅な増加を記録しました。

この焦点の変化の大部分は、単一の事業者を侵害するだけで複数の病院へのアクセスを得られることを攻撃者側が認識したためだと、Comparitechでデータ調査部門を率いるレベッカ・ムーディ氏は指摘します。

「実態としては、1つの中核的なハブを経由することで、巨大なデータベースを保有していたり、数百の病院にサードパーティサービスを提供していたりする複数のヘルスケア組織を同時に標的にできてしまうのです」と同氏は語ります。「当然ながら、被害を受けた事業者にはより大きなプレッシャーがかかります。すべての取引先に対して説明責任を負わなければならないからです。そして大量のデータが窃取されていれば、身代金を得られる可能性も高まってしまいます」

最新のデータは、ヘルスケア業界が依然としてサイバー犯罪者にとって人気の標的であり続けていることを示しています。2月には、TriZetto Provider Solutionsが顧客施設の患者340万人に影響するデータ侵害を公表したほか、QualDerm Partnersも12月に発生した310万人規模の侵害を明らかにしました。4月には、FBIのインターネット犯罪苦情センター(IC3)が、ヘルスケア業界が2025年に最も攻撃を受けた重要インフラ分野であったと発表しました。

病院はなりすましやソーシャルエンジニアリングを起点とした攻撃の増加に直面する一方、レガシー機器の発見とパッチ適用という継続的な課題も抱えていると、Health-ISACの最高セキュリティ責任者エロール・ワイス氏は述べています。

「私が話をする病院のCISOたちは、こうした脅威を真剣に受け止めています」と同氏は言います。「彼らにとって最大の課題は、病院ネットワークを十分に保護するためのリソースを確保することです。つまり、経験豊富なサイバーセキュリティ人材を採用・維持し、必要不可欠な技術を導入するための予算を確保することを意味します。しかし、レガシー医療機器の複雑さ、常時稼働する臨床業務、サードパーティへの強い依存といった構造的な現実がある限り、攻撃者にとっては依然として多くの好機が残されているのです」

全業界でランサムウェア攻撃が急増

ランサムウェア攻撃の増加はヘルスケア業界に限った話ではありません。Comparitechのレポートによれば、企業全体でも過去6ヶ月間で前の期間と比べ11%の増加が見られ、これはヘルスケア業界の増加率をわずか数ポイント下回るにすぎません。しかし同社の調査によると、ランサムウェアグループが標的にしているのはヘルスケア関連事業者であり、病院や診療所ではなく、ヘルスケアプロバイダーにサービスを提供するベンダー企業だということです。

Comparitechのムーディ氏によると、Qilinのようなランサムウェアグループが米国のヘルスケア業界を標的にしている一方で、The Gentlemenのような新興グループは主に欧州やその他の地域に狙いを定めているようです。

Image

Comparitechのデータによれば、2026年上半期に確認された攻撃・未確認の攻撃を含めた総数では、ヘルスケアプロバイダー(247件)がヘルスケア関連事業者(163件)を上回りました。しかし事業者側は、2025年の同時期と比べて攻撃件数が2倍以上に急増するという事態に直面しています。あるヘルスケアプロバイダーであるミシシッピ大学メディカルセンターは、ランサムウェア攻撃を受けて傘下の35施設すべてでネットワークアクセスを遮断せざるを得なくなり、深刻な業務混乱を招きました。

続くヘルスケア攻撃と深刻な結末

ヘルスケア業界には、サイバー犯罪者の関心を引き続け惹きつける要因がいくつかあると、Health-ISACのワイス氏は指摘します。強固なリモートアクセス制御や多要素認証といったセキュリティ対策が見過ごされがちであるため、攻撃者はシステムへの初期侵入を容易に果たせてしまいます。加えて、RaaS(Ransomware-as-a-Service)モデルの普及により、手軽な標的を狙う攻撃者の裾野も広がっています。

さらに、ヘルスケアプロバイダーはサイバー攻撃によってはるかに深刻な結末を迎えやすい傾向にあり、病院やその取引先ベンダーは身代金を支払う方向に傾きがちです。これがサイバー犯罪者の関心をさらに引き寄せる要因となっています。バックアップを保有していれば当初の身代金要求額を3分の2以上削減できる可能性がある一方で、病院での業務混乱は医療提供の遅延や「超過死亡」につながりかねません。これは重要インフラの機能停止が現実世界にもたらす結果を示す指標です。例えば2024年には、Microsoftの調査により、ランサムウェア攻撃が発生すると患者数が通常15%増加し、待合室での待ち時間はほぼ50%長くなり、確定診断された脳卒中(+113%)と心停止(+81%)の件数も増加することが判明しています。

「病院は特別な位置づけにあります。なぜなら、その影響は抽象的なものではなく、サイバーセキュリティはそのまま患者の安全に直結するからです」と同氏は語ります。「インシデントによって電子カルテ(EHR)、検査、画像診断、投薬業務、通信などに長期の障害が発生すれば、医療提供のスピードは落ち、リスクは高まります。極端な場合には、人命が失われることもあり得ます。だからこそ攻撃者は、病院を恐喝要求に応じやすい標的と見なしているのです」

翻訳元: https://www.darkreading.com/threat-intelligence/cybercriminals-healthcare-businesses-attacks-surge

ソース: darkreading.com