金沢大学は6月10日、学内の研究サーバが管理する端末が不正アクセスを受け、ランサムウェアに感染したとみられると発表した。端末に保存されていた金沢大学病院の患者43人の氏名と手術動画データが外部に流出した可能性を「否定できない」という。
不正アクセスの経緯と現状
不正アクセスがあったのは5月25日。不審な挙動を検知したため、直ちに該当端末をネットワークから遮断し、被害の拡大防止措置を講じた。
この端末は診療用ネットワークとは切り離されていたため、電子カルテなど診療用システムへの影響は確認していない。診療業務も通常通り実施しており、患者の受診への影響も確認していない。
—
情報流出の可能性と調査
現時点で、流出した可能性のある情報が実際に外部へ公開・悪用された事実も確認していないが、引き続き調査を進めている。
大学は対象となる患者に個別に連絡し、報告と謝罪を行っている。不正アクセスの経路や被害状況の調査を続けるとともに、再発防止に取り組む。
関連する医療機関でのサイバー攻撃事例
近年、医療機関を標的としたサイバー攻撃が相次いでいる。2023年6月には、東海大学病院で看護師の個人PCがサポート詐欺の被害に遭い、患者1365人分の個人情報が外部に漏えいした可能性が報じられた。
また、市立福知山病院ではサイバー攻撃が疑われる異常な通信が検知され、一部システムを停止して診療制限を行った。同病院は初期対応での検知・遮断に成功し、個人情報の漏洩やデータ破壊、ウイルス感染などの被害は現時点で確認されていないとしている。
さらに、東京大学の研究サーバへの不正アクセスや、東海大学でのランサムウェア被害による個人情報漏洩(最大19万人分)も報告されている。
