九州大学は 10 日、医学研究院のある研究室で使用されていた端末がランサムウェア被害に遭い、九州大学病院の患者 43 名分の氏名と手術動画が外部へ流出した可能性を「否定できない」と発表した。研究目的で病院から教育・研究端末へコピーしていたデータが、研究室側のセキュリティ境界を越えた瞬間に標的となった格好だ。
大学研究室は「医療機関の弱点」になり得る #
医療機関本体は厚労省ガイドラインと電子カルテ系のネットワーク分離で防御を固めることが多い。一方で、医学部・大学病院の研究室は 病院ネットワークの外側にある汎用 PC を学術目的で運用 しており、研究で扱う患者データがそこにコピーされた瞬間、攻撃者から見れば「同じ価値の医療データが守りの薄い側に置かれた」状態になる。
研究室の端末は概して、
- メールや学外サイトに自由にアクセスできる
- USB や個人端末との接続が緩い
- セキュリティパッチ運用が研究員任せになりがち
- EDR や SOC の集中監視対象から漏れていることが多い
という条件が揃いやすく、フィッシング 1 通で初期侵入を許してしまう前提で考えるべき層だ。
ハッカー視点で見る「研究室狙い」のうまみ #
ランサム実行犯から見ても、大学研究室は 「侵入コストが低く」「公表が避けにくく」「身代金交渉に応じやすい」 という三拍子が揃う。患者個人情報や手術動画など機密性の高いデータが乗っていれば、暗号化を完了する前にデータ流出だけで脅迫が成立する「二重脅迫」の典型形にハマる。手術動画は患部や顔が映り得る性質上、SNS にサンプルを公開されただけで医療機関側の交渉余地を一気に削られる。
防御側に必要なのは、研究目的での 患者データの持ち出しを禁止か仮名化前提に厳格化 すること、ファイルサーバとエンドポイントの境界に DLP やふるまい検知を入れること、そして研究室単位でも EDR を必須化することだ。「研究の自由」と「医療データの保全」は二者択一ではない。コピー前に必ず匿名化を通すワークフローさえあれば、今回のようなインシデントも「侵害は起きたが漏れた中身は識別不能」で済む。大学病院の世代交代が進むこのタイミングこそ、運用設計を見直す好機だろう。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。