Medusaランサムウェアが大学病院を9日間停止——35クリニック閉鎖の衝撃

9日間——電子カルテが完全に使えなくなり、35のクリニックが閉鎖され、患者の手術がキャンセルされた。2026年3月、ミシシッピ州唯一のLevel Iトラウマセンターであり唯一の小児病院でもあるミシシッピ大学医療センター（UMMC）が、ロシア系ランサムウェアグループ「Medusa」の攻撃を受け、医療サービスが壊滅的な打撃を受けた。

UMMCは従業員約10,000人を擁する同州最大の医療機関だ。Medusaは1テラバイト（TB）を超えるデータを窃取したと主張し、80万ドル（約1.2億円） の身代金を要求している。電子カルテシステム「Epic」が9日間にわたり使用不能となり、医師や看護師は紙のカルテに逆戻りを余儀なくされた。本記事では攻撃の全貌、Medusaの手法、そして日本の医療機関が学ぶべき教訓を詳しく解説する。

攻撃の経緯と被害の全容

タイムラインと即座の影響

UMMCへの攻撃は段階的に進行した。初期侵入から暗号化実行までの詳細な時系列は調査中だが、判明している事実を整理すると以下のようになる。

初期侵入: Medusaが何らかの手法でUMMCのネットワークに侵入。フィッシングメールまたはVPN脆弱性の悪用が有力視されている
データ窃取フェーズ: 1TB超の院内データを外部に転送。患者記録、職員情報、財務データなどが対象
暗号化実行: 院内システムを一斉に暗号化。Epicを含む主要システムが停止
身代金要求: Medusaがダークウェブのリークサイトで犯行を主張し、$800,000を要求
9日間の停止: クリニック閉鎖、手術中断、紙カルテ運用で耐える
復旧: 段階的にシステムを再稼働

この図は、Medusaランサムウェアの攻撃タイムラインとUMMCへの多面的な影響を示しています。

Medusaランサムウェア攻撃タイムラインとUMMCへの影響 — 初期侵入からデータ窃取、暗号化実行、身代金要求、9日後の復旧開始までの流れと、患者・システム・組織・データへの影響を図示

具体的な被害内容

UMMCが公表した情報と報道から判明している被害は以下の通りだ。

医療サービスへの影響:

35クリニック閉鎖: 外来診療が全面停止。患者は他州の医療機関への搬送を余儀なくされたケースもある
選択的手術の中断: 緊急でない手術がすべてキャンセル。心臓手術や整形外科手術の待機患者に深刻な影響
画像検査の停止: CT・MRI・X線などの画像診断が実施不能に
Level Iトラウマセンター機能の低下: 重篤な外傷患者の受入能力が大幅に制限

システムへの影響:

Epic EHR（電子カルテ）: 9日間完全停止。医師は紙に手書きでオーダーを出し、看護師が手作業で投薬管理
メールシステム: 院内メールが不通となり、電話とFAXによるコミュニケーションに
検査システム: 臨床検査の結果報告に大幅な遅延が発生

データの影響:

Medusaは1TB超のデータを窃取したと主張
患者の個人情報・医療記録が含まれている可能性
ダークウェブ上でのデータ公開を脅迫

Medusaランサムウェアとは何か

グループの概要

Medusaは2023年頃から活動が確認されているロシア系ランサムウェアグループで、「Ransomware-as-a-Service（RaaS）」モデルで運営されている。つまり、中核の開発者チームがランサムウェアのインフラを提供し、実際の攻撃は「アフィリエイト」と呼ばれる協力者が実行する分業体制だ。

攻撃手法の特徴

Medusaは二重恐喝（Double Extortion） を常套手段とする。

データの暗号化: 被害者のシステムを暗号化し、業務を停止させる
データの窃取・公開脅迫: 暗号化前にデータを持ち出し、身代金を支払わなければダークウェブで公開すると脅す

この二重恐喝により、たとえバックアップからシステムを復旧できても、データ流出のリスクが残るため、被害者への圧力が格段に強まる。

CISA・FBI・MS-ISACの警告

Medusaの脅威は米国政府も深刻に受け止めている。2025年にはCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）、FBI、MS-ISAC（Multi-State Information Sharing and Analysis Center）が共同でアドバイザリを発出した。このアドバイザリでは、Medusaの攻撃手法、IoC（Indicators of Compromise）、そして推奨される防御策が詳述されている。

項目	Medusa	ALPHV/BlackCat	LockBit 3.0
活動開始	2023年	2021年	2022年
運営モデル	RaaS	RaaS	RaaS
恐喝手法	二重恐喝	二重恐喝＋DDoS	三重恐喝
主な標的	医療・教育	幅広い業種	幅広い業種
身代金の傾向	$100K-$15M	$400K-$22M	$50K-$70M
リークサイト	Medusa Blog	閉鎖（2024）	復活を試みるも弱体化
政府対応	CISA共同アドバイザリ	FBI主導でテイクダウン	Cronos作戦で壊滅的打撃

なぜ医療機関が狙われるのか

医療機関特有の脆弱性

医療機関はランサムウェアグループにとって「理想的な標的」とされる。その理由は構造的なものだ。

1. 生命に関わるため支払い圧力が強い システム停止が直接的に患者の生死に関わるため、他業種と比較して身代金を支払う動機が強い。UMMCのケースでも、Level Iトラウマセンターの機能低下は文字通り命に関わる事態だった。

2. レガシーシステムへの依存 多くの医療機関が古い業務システムやOS（Windows Server 2012やWindows 7など）を使い続けている。医療機器のソフトウェアはFDA認証との関係でアップデートが容易でなく、脆弱性が残りやすい。

3. 広大な攻撃対象面 IoT医療機器、患者ポータル、リモートアクセス、外部委託先との接続など、医療機関のネットワークは極めて複雑で、攻撃者が侵入できるポイントが多い。

4. IT予算の制約 医療機関の多くは慢性的にIT予算が不足しており、最新のセキュリティ対策を導入する余裕がない。特に地方の公立病院はこの傾向が顕著だ。

米国医療機関の被害統計

この図は、UMMCの事件を含む米国医療機関へのランサムウェア攻撃の被害規模を比較しています。

米国医療機関へのランサムウェア攻撃の被害規模比較 — UMMC、Change Healthcare、Ascension、CommonSpirit、UHSの身代金要求額・停止期間・影響を一覧で比較

HHS（米国保健福祉省）のOCR（公民権局）によると、2024年だけで67件の医療機関がランサムウェア被害を報告している。被害額の合計は推定で数十億ドルに上り、もはや個別の事件ではなく、医療インフラに対する組織的な脅威と捉えるべき状況だ。

Epic電子カルテ9日間停止の意味

Epicとは何か

Epic Systems（エピック・システムズ）は米国最大の電子カルテ（EHR）ベンダーであり、米国の病院の約35%がEpicを使用している。Epicは単なるカルテ記録にとどまらず、以下のような病院運営の中枢機能を担う。

オーダーエントリ: 医師が検査・投薬・処置を電子的に指示
薬剤管理: 処方チェック、投薬量計算、アレルギー確認
検査結果管理: 臨床検査、画像診断の結果表示
患者スケジューリング: 外来予約、手術スケジュール管理
請求・保険処理: 診療行為から保険請求書を自動生成

Epicが停止するということは、これらすべての機能が一度に失われることを意味する。

紙運用への逆戻りのリスク

9日間の紙カルテ運用は、単に不便というレベルではない。以下のような医療安全上のリスクが生じる。

投薬ミスの増加: 電子的なアレルギーチェックや投薬量計算が使えない
検査結果の見落とし: 紙ベースの結果報告はタイムラグが大きく、緊急値の見落としリスクが上がる
患者の取り違え: バーコード認証が使えないため、同姓同名の患者の取り違えリスクが増大
情報の断絶: チーム医療において、医師・看護師・薬剤師間のリアルタイムな情報共有が困難に

$800,000の身代金要求——支払うべきか

Medusaの要求

Medusaは**$800,000（約1.2億円）** という、ランサムウェアとしては比較的「控えめ」な額を要求した。Change Healthcareの$22M（約33億円）やUHSの推定被害額$67M（約100億円）と比較すると桁違いに小さい。

しかし、これはMedusaが公立大学病院の財政状況を踏まえた「支払い可能な金額」を計算した上での設定だと考えられる。州立大学の予算で億単位の支払いが難しいことを見越し、意思決定が早まる金額帯を狙っている。

身代金支払いのジレンマ

FBI・CISAは一貫して「身代金を支払うべきではない」と勧告している。理由は以下の通りだ。

復号化の保証がない: 身代金を支払ってもデータが復元されない事例が30%以上ある
犯罪への資金提供: 支払いは次の攻撃の資金源となり、ランサムウェアのエコシステムを強化する
再攻撃のリスク: 支払った組織は「支払い能力がある」とみなされ、再度標的にされやすい
データの二次利用: 支払い後もデータがダークウェブで販売される事例がある

一方で、患者の生命が直接関わる医療機関では「支払わない」という判断が容易ではない。システム復旧に数週間を要する場合、その間の医療サービス低下によるリスクと身代金のコストを天秤にかけなければならない。

日本の医療機関への示唆

日本でも増加する医療機関への攻撃

日本でもすでに医療機関へのランサムウェア攻撃は現実の脅威となっている。

2021年: 徳島県つるぎ町立半田病院がランサムウェア攻撃を受け、電子カルテが約2か月停止
2022年: 大阪急性期・総合医療センター（旧大阪市立総合医療センター）がランサムウェア攻撃を受け、電子カルテが約2か月停止。復旧費用は約10億円
2024年: 岡山大学病院で患者情報を含むデータ漏洩が確認

UMMCの事例は、日本の医療機関にとっても「対岸の火事」ではない。

日本特有の課題

日本の医療機関には、米国とは異なる独自の脆弱性がある。

1. オンプレミス依存 日本の病院は電子カルテをオンプレミス（院内サーバー）で運用するケースが多い。クラウドベースのバックアップや災害復旧（DR）環境が整備されていない病院では、一度暗号化されるとバックアップごと被害に遭うリスクがある。

2. VPN脆弱性の放置 半田病院のケースでは、Fortinet製VPN装置の既知の脆弱性が悪用された。日本の多くの医療機関で同様のVPN装置が使われており、パッチ適用が遅れている。

3. セキュリティ人材の絶対的不足 日本の地方病院には、専任のセキュリティ担当者がいないことが珍しくない。ITの兼任担当者が数人でネットワーク管理から端末管理まですべてを担っており、高度なサイバー攻撃への対応は困難だ。

4. 厚生労働省ガイドラインの遵守状況 厚生労働省は「医療情報システムの安全管理に関するガイドライン」を定めているが、人員・予算不足から十分に遵守できていない医療機関が多い。

推奨される防御策

技術的対策

1Passwordのようなパスワード管理ツールの導入は基本中の基本だが、医療機関ではそれ以上の多層防御が必要だ。

ネットワークセグメンテーション: 医療機器ネットワーク、業務ネットワーク、ゲストWi-Fiを分離し、一つのセグメントが侵害されても全体に波及しない構成にする。

バックアップの「3-2-1ルール」: データを3つのコピーで、2種類の異なるメディアに、1つはオフサイト（できればエアギャップ）で保管する。

EDR（Endpoint Detection and Response）の導入: 従来のアンチウイルスではランサムウェアの検知が不十分。振る舞い検知型のEDR製品を全端末に展開する。

多要素認証（MFA）の義務化: VPNアクセス、管理者アカウント、電子カルテへのアクセスすべてにMFAを必須化する。

運用面の対策

インシデント対応計画の策定と訓練: 年に最低2回、ランサムウェア対応のテーブルトップ演習を実施する。紙カルテでの運用手順も含めて訓練すべきだ。

フィッシング訓練: 職員向けの定期的なフィッシングメール訓練を実施し、クリック率を追跡・改善する。

脆弱性管理の徹底: 特にVPN装置、リモートデスクトップ、メールゲートウェイの脆弱性パッチを最優先で適用する。

まとめ：いますぐ取るべきアクション

UMMCの9日間停止は、医療機関のサイバーセキュリティがいかに脆弱かを改めて浮き彫りにした。日本の医療機関も決して例外ではない。以下のアクションを今すぐ開始すべきだ。

VPN装置のファームウェアを最新版に更新する — Fortinet、Pulse Secure、Citrix ADCなど、既知の脆弱性が公開されている製品を最優先で確認する
バックアップの復旧テストを実施する — バックアップは「取っている」だけでは不十分。実際に復旧できるか、復旧にかかる時間はどれくらいかをテストする
紙カルテでの運用マニュアルを整備する — 電子カルテが使えなくなった場合の手順書を作成し、全職員に周知する
CISA・FBIのMedusaアドバイザリを確認する — 最新のIoCをセキュリティ機器に適用し、Medusaの攻撃パターンへの耐性を検証する
パスワード管理ツールと多要素認証を全職員に導入する — 認証情報の流出を防ぐ最も基本的かつ効果的な対策だ

ランサムウェアは「いつ来るか」ではなく「いつ来ても対応できるか」の問題だ。準備を怠った組織が支払う代償は、身代金の額をはるかに超える。