Medusa Ransomware、大学病院を攻撃——35クリニック閉鎖、1TB流出
35のクリニックが一斉閉鎖、1テラバイトを超える患者データが闇に流出——2026年3月、米国ミシシッピ大学医療センター(UMMC)がランサムウェアグループ「Medusa」による大規模サイバー攻撃を受け、医療機関のサイバーセキュリティに改めて警鐘が鳴らされた。攻撃者は**$800,000(約1.2億円)** の身代金を要求し、データの公開をちらつかせて交渉を迫っている。
ミシシッピ州最大の学術医療機関であるUMMCは、州内の医療インフラの中核を担っている。今回の攻撃により、外来診療や検査予約が大幅に制限され、患者の生命にかかわるリスクが現実のものとなった。本記事では、Medusaランサムウェアの攻撃手法、被害の全容、そして急増する医療機関へのサイバー攻撃の実態と対策について詳しく解説する。
Medusaランサムウェアとは何か
Medusaは2021年頃から活動が確認されているランサムウェア・アズ・ア・サービス(RaaS)グループで、二重恐喝(ダブルエクストーション)を主な手法とする。データを暗号化して業務を止めるだけでなく、窃取したデータを公開すると脅迫することで、身代金の支払い圧力を最大化する。
Medusaの技術的特徴
Medusaランサムウェアには以下の技術的特徴がある。
- 初期アクセス: フィッシングメール、脆弱なRDP(リモートデスクトッププロトコル)、既知の脆弱性(CVE悪用)を組み合わせて侵入
- ラテラルムーブメント: 侵入後にPowerShellスクリプトやPsExecを使い、ネットワーク内を横展開
- データ窃取: 暗号化の前に重要データを外部サーバーへ転送(エクスフィルトレーション)
- 暗号化: AES-256とRSA-2048のハイブリッド暗号化方式を使用し、復号を極めて困難にする
- リークサイト: Torネットワーク上に専用のリークサイトを運営し、支払いに応じない被害者のデータを段階的に公開
FBI(連邦捜査局)とCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)は2025年にMedusaに関する共同勧告を発表しており、特に医療・教育・製造業セクターが重点的に狙われていることを警告している。2026年に入ってからは攻撃頻度がさらに加速しており、月間30件以上のペースで被害が報告されている。
UMMC攻撃の経緯と被害
タイムライン
2026年3月のUMMC攻撃は、以下の経緯で進行した。
- 3月中旬: UMMCの情報システム部門が異常なネットワークトラフィックを検知
- 3月17〜18日: 複数のサーバーでファイル暗号化が確認され、Medusaからの身代金要求が判明
- 3月19日: 外来35クリニックの診療を一時停止。救急・入院部門は手動オペレーションに切り替え
- 3月20日: Medusaがリークサイトに一部データのサンプルを公開し、7日以内の支払いを要求
- 現在: UMMCはFBI・CISAと連携して調査中。段階的にシステム復旧を進めている
流出データの内容
Medusaが窃取したとされる1TB超のデータには、以下の情報が含まれている。
| データ種別 | 具体的な内容 | リスクレベル |
|---|---|---|
| 患者医療記録 | 診療記録、検査結果、処方箋、保険情報 | 極めて高い |
| 個人識別情報 | 氏名、住所、社会保障番号(SSN)、生年月日 | 極めて高い |
| 従業員記録 | 給与情報、人事ファイル、資格証明書 | 高い |
| 財務データ | 請求記録、保険請求書、予算文書 | 高い |
| 研究データ | 臨床試験データ、研究プロトコル | 中〜高 |
| ネットワーク情報 | システム構成、認証情報、VPN設定 | 高い |
特に患者の医療記録(PHI: Protected Health Information)は、HIPAA(医療保険の携行性と責任に関する法律)で厳格に保護される情報であり、流出した場合のUMMCへの法的・財務的影響は甚大だ。HIPAAの違反に対する制裁金は、1件あたり最大$250万、年間最大$1,500万に達する可能性がある。
35クリニック閉鎖の影響
UMMCはミシシッピ州唯一のLevel 1外傷センターを運営しており、年間80万件以上の外来受診を処理している。35クリニックの閉鎖は、以下のような深刻な影響を及ぼした。
- がん治療の中断: 化学療法スケジュールの遅延。タイミングが治療効果に直結する患者にとっては致命的
- 手術の延期: 緊急性が低いと判断された手術が無期限延期に
- 処方箋の発行不可: 電子処方箋システムがダウンし、紙ベースでの対応を強いられた
- 検査結果の遅延: 画像診断や血液検査の結果が共有できず、診断に遅れが発生
- 他院への転送: 救急患者の一部を近隣病院へ転送。転送時間の増加が生存率に影響
米国では過去にもランサムウェア攻撃が間接的に患者の死亡につながったケースが報告されている。2020年のドイツ・デュッセルドルフ大学病院の事例では、ランサムウェアにより救急患者が別の病院へ搬送され、その遅延が原因で死亡したとされる。
2026年、医療機関への攻撃が急増する理由
この図は、2021年から2026年にかけての医療機関へのランサムウェア攻撃件数の推移を示しています。
医療機関がランサムウェアの格好の標的となる構造的な理由は、以下の5つに集約される。
1. 支払い圧力が極めて高い
患者の生命がかかっているため、他の業種に比べて身代金を支払う確率が高い。Sophos社の2025年調査によれば、医療機関の身代金支払い率は67% と全業種平均(46%)を大きく上回る。
2. レガシーシステムの蔓延
多くの医療機関では、Windows 7やWindows Server 2012といったサポート終了済みのOSが稼働し続けている。医療機器のファームウェア更新が困難なケースも多く、既知の脆弱性がパッチされないまま放置されている。
3. IT予算の慢性的不足
医療機関のIT予算は、一般的に総予算の4〜6% にとどまる(金融機関では10〜15%)。サイバーセキュリティ専門スタッフの確保も難しく、24時間監視体制を維持できている病院は少数派だ。
4. 巨大なアタックサーフェス
IoT医療機器、電子カルテ(EHR)、遠隔医療システム、サプライチェーン連携など、攻撃対象となるエンドポイントが膨大。ある調査では、平均的な大規模病院のネットワークに接続されたデバイス数は10,000〜85,000台 に達するとされる。
5. データの高い換金性
医療データはダークウェブで1レコードあたり**$250〜$1,000** で取引される。クレジットカード情報($5〜$15)や社会保障番号($1〜$3)と比較して桁違いに高い。医療データには保険番号、処方履歴、アレルギー情報など、なりすまし詐欺や保険詐欺に悪用できる包括的な個人情報が含まれるためだ。
Qilinランサムウェアの台頭——2026年400件超の被害
Medusaと並んで2026年に急激に存在感を増しているのが、ランサムウェアグループ「Qilin」(別名: Agenda)だ。2026年だけで400件以上の被害 が報告されており、特に医療・教育セクターへの攻撃が顕著である。
Qilinの特徴
| 項目 | Medusa | Qilin |
|---|---|---|
| 活動開始 | 2021年頃 | 2022年後半 |
| 主な標的 | 医療、教育、製造 | 医療、教育、政府機関 |
| 2026年推定被害件数 | 180件以上 | 400件以上 |
| 初期アクセス手法 | フィッシング、RDP | スピアフィッシング、VPN脆弱性 |
| 身代金要求額の中央値 | $500K〜$2M | $300K〜$5M |
| 暗号化方式 | AES-256 + RSA-2048 | ChaCha20 + RSA-4096 |
| データリークサイト | Tor上で運営 | Tor上で運営 |
| RaaS(サービス型) | あり | あり |
| 特記事項 | カウントダウンタイマーで圧力 | Linux/VMware ESXi対応 |
Qilinは特にVMware ESXi環境への攻撃能力を持つ点が特徴的だ。多くの医療機関が仮想化環境でシステムを運用しているため、ESXiを攻撃されると一度に大量の仮想マシンが暗号化される壊滅的な被害につながる。
2024年に発生した英国NHS(国民保健サービス)の病理検査機関Synnovisへの攻撃もQilinの仕業とされ、ロンドンの複数の大病院で血液検査が数週間にわたり停止する事態となった。
ランサムウェア攻撃への対応フロー
医療機関がランサムウェア攻撃を受けた際に迅速かつ適切に対応するためのフローを以下に示す。
この図は、ランサムウェア攻撃を受けた際の検知から復旧までの推奨対応手順を示しています。
身代金の支払いについて、FBI・CISA・日本の警察庁いずれも「非推奨」としている。支払ったとしてもデータが完全に復元される保証はなく、むしろ「支払い実績のある組織」としてリストに載り、再攻撃のターゲットになるリスクすらある。
日本の医療機関への影響と対策
日本でも相次ぐ医療機関への攻撃
日本国内でも医療機関を標的としたランサムウェア攻撃は深刻な問題となっている。
- 2021年: 徳島県つるぎ町立半田病院がランサムウェア被害。電子カルテが使用不能に
- 2022年: 大阪急性期・総合医療センターがランサムウェア攻撃を受け、約2か月にわたり通常診療が停止
- 2023年: 複数の診療所・歯科医院でVPN機器を経由した不正アクセスが頻発
- 2024〜2025年: 厚生労働省がサイバーセキュリティ対策のガイドラインを強化
大阪急性期・総合医療センターの事例では、給食委託業者のVPN機器から侵入され、電子カルテシステムが全面停止した。復旧までに約2か月を要し、その間の診療制限による逸失収益と復旧コストは数十億円規模 に達したとされる。
日本の医療機関特有のリスク
日本の医療機関には、米国とは異なる固有のリスク要因がある。
- ISMS認証取得率の低さ: 大病院でもISO 27001認証を取得している施設は少数。セキュリティマネジメント体制が属人的になりやすい
- サプライチェーンの脆弱性: 給食、清掃、医療機器メーカーなど外部委託先経由の侵入が多い。委託先のセキュリティ管理が甘いケースが頻発
- オンコール体制の不在: 24時間365日のセキュリティ監視体制(SOC)を維持する予算・人員がない
- 電子カルテのクローズド環境依存: 「外部接続していないから安全」という誤認識。実際にはVPNや保守回線経由でインターネットに接続している
厚生労働省のガイドライン強化
厚生労働省は2023年に「医療情報システムの安全管理に関するガイドライン第6.0版」を公表し、以下の対策を医療機関に求めている。
- バックアップの3-2-1ルール: 3つのコピー、2種類のメディア、1つはオフサイト保管
- ネットワーク分離: 電子カルテ系ネットワークとインターネット系の論理的・物理的分離
- 多要素認証(MFA)の導入: 特にリモートアクセスにはMFAを必須とする
- インシデント対応計画の策定と訓練: 年1回以上のサイバー攻撃対応訓練を推奨
- サプライチェーンリスク管理: 委託先との情報セキュリティ要件の契約明文化
個人でできるセキュリティ対策
医療機関の患者としても、自身のデータが流出するリスクに備えることは重要だ。
パスワード管理の徹底
医療ポータルサイトや保険サービスのアカウントには、他のサービスとは異なる固有の強力なパスワードを設定すべきだ。1Passwordのようなパスワードマネージャーを使えば、サービスごとに一意のパスワードを自動生成・管理できる。万が一1つのサービスでデータが流出しても、他のアカウントへの被害が連鎖することを防げる。
VPNの活用
公共Wi-Fiから医療ポータルや保険サービスにアクセスする際は、NordVPNのようなVPNサービスを使って通信を暗号化することが推奨される。特に海外渡航時の医療機関利用時には、通信の傍受リスクを最小限に抑える重要な防御手段となる。
その他の個人防御策
- マイナ保険証の利用履歴を定期確認: 不正利用の早期発見につながる
- 医療機関からの通知メールを慎重に確認: ランサムウェア攻撃後のフィッシングメール(偽の「データ流出通知」など)に注意
- 信用情報のモニタリング: 個人情報流出後のなりすまし被害を早期発見するため、定期的に信用情報を確認
ランサムウェア対策の主要ソリューション比較
医療機関が導入を検討すべきランサムウェア対策ソリューションを比較する。
| ソリューション | 主な機能 | 医療機関適性 | 年間コスト目安 |
|---|---|---|---|
| CrowdStrike Falcon | EDR・脅威インテリジェンス | 高い(HIPAA対応) | 1端末$8〜$15/月 |
| SentinelOne Singularity | AI自動対応・ロールバック | 高い(自動復旧機能) | 1端末$6〜$12/月 |
| Microsoft Defender for Endpoint | 統合セキュリティ・Intune連携 | 中〜高 | Microsoft 365に含む場合あり |
| Sophos Intercept X | ディープラーニング検知 | 高い(医療実績豊富) | 1端末$28〜$50/年 |
| Veeam Backup | イミュータブルバックアップ | 極めて高い(復旧重視) | ライセンス体系による |
日本の医療機関では、CrowdStrikeやSophos Interceptを導入しているケースが増えている。特にSophosは日本語サポートが充実しており、中小規模の医療機関にも導入しやすい。
身代金$800,000は高いのか、安いのか
Medusaが要求した$800,000(約1.2億円)という金額は、ランサムウェアの身代金としてはむしろ「控えめ」な部類に入る。比較してみよう。
| 事例 | 年 | 身代金要求額 | 支払い額 |
|---|---|---|---|
| Colonial Pipeline | 2021 | $4.4M | $4.4M(一部回収) |
| JBS Foods | 2021 | $22.5M | $11M |
| Change Healthcare | 2024 | $22M | $22M |
| TELUS Digital | 2026 | $65M | 拒否 |
| UMMC(今回) | 2026 | $800K | 交渉中 |
UMMCへの要求額が比較的低い理由としては、Medusaが「支払いの確実性」を重視した可能性がある。高すぎる金額では拒否されるリスクが高いため、支払いやすい金額に設定することで成功率を上げる戦略だ。しかし、身代金の金額に関係なく、支払いは推奨されない。
まとめ:医療のデジタル化とセキュリティの両立が急務
Medusaランサムウェアによるミシシッピ大学医療センターへの攻撃は、医療機関のサイバーセキュリティが「ITの問題」ではなく「患者の安全の問題」であることを改めて浮き彫りにした。35のクリニック閉鎖は、デジタル化の恩恵を享受する医療システムの脆さを象徴している。
2026年はMedusaに加えてQilinの活動が爆発的に増加しており、医療機関を取り巻くサイバー脅威は過去最悪のレベルに達している。日本でも2022年の大阪急性期・総合医療センターの事例を教訓に対策が進んでいるものの、中小規模の病院・クリニックではまだまだ十分とは言えない状況だ。
今すぐ取るべきアクションステップ
- バックアップ体制の点検: オフラインバックアップが最新の状態で保管されているか確認する。3-2-1ルール(3コピー・2メディア・1オフサイト)を徹底し、バックアップからの復旧テストを四半期ごとに実施する
- 多要素認証の全面導入: VPN、リモートアクセス、管理者アカウントに多要素認証を導入する。1Passwordのようなパスワードマネージャーと併用し、認証情報の一元管理と強化を図る
- インシデント対応計画の策定・訓練: ランサムウェア攻撃を想定した対応手順書を作成し、年2回以上のシミュレーション訓練を実施する。外部のフォレンジック業者や法律事務所との契約を事前に締結しておくことも重要だ
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星