国立研究開発法人量子科学技術研究開発機構(以下「QST」という。)のQST病院(千葉市稲毛区)が、診療業務用ネットワークとは独立したネットワークで運用管理しているシステム(重粒子線治療多施設共同臨床研究システム(J-CROS)、放射線治療症例全国登録システム(JROD)。以下「本システム」という。)において、ランサムウェア(注1)被害が発生しました。
本システムに登録されている症例情報は全て匿名化されており、患者さんの個人情報は含まれておりません(注2)。また、診療業務を含むQST病院の業務に影響はありません。
<本システムの概要>
全国の重粒子線治療施設が連携して実施する臨床試験の支援を目的としたJ-CROSと、放射線治療の実態調査研究等を目的としたJRODの2つのシステムから構成されています。本システムは、各事業に参加している全国の医療機関から重粒子線治療や放射線治療の匿名化された症例情報を登録し、重粒子線治療や放射線治療の効果や安全性、最適な施行方法などを明らかにすることへの貢献を目的としたものです。
1.経緯
令和6年1月11日(木)16時頃に本システムにおける異常を認識し、その態様からランサムウェア被害と推定できたため、同日17時40分に本システムのネットワークを遮断しました。
これまで文部科学省・厚生労働省及び個人情報保護委員会等の関係機関への報告、所轄の警察への相談、J-CROS・JROD関係医療機関への報告及び謝罪を行っています。専門機関に対して調査を依頼し、侵入経路に関する調査結果及びランサムウェア攻撃に対する再発防止策を講じたため公表するものです。
2.被害状況
本システムを構成する複数サーバ内のファイルが別名ファイルに置き換えられるランサムウェアによる不正アクセスが発生し、本システムが管理する匿名化された症例情報(J-CROS:約2.5万件、JROD:約45万件)の利用ができない状態になりました。一方、バックアップを保存しているためJ-CROS, JRODの事業に支障はなく、現在は安全なオフラインでの運用を再開しています。
現時点で情報漏えいは確認されていませんが、仮にデータが流出した場合であっても、本システムに登録されている症例情報は全て匿名化処理が行われており、患者さん個人が特定されることはありません。
本システムはQSTの基幹ネットワークやQST病院の診療系ネットワークから切り離されているため、QST病院の診療業務を含むQSTの業務に支障はありません。
3.原因
調査の結果、令和6年1月11日に攻撃者がネットワーク機器から不正に侵入し、本システム内部の複数サーバにアクセスして情報を暗号化するランサムウェア攻撃を行ったことを確認しました。
攻撃を受けた要因としては、ネットワーク機器のソフトウェアの更新が適切に行われていなかったこと、複数サーバの管理者アカウントで同一のパスワードを利用した認証を行っていたこと等が挙げられます。
また、各部署で個別に管理しているネットワークに対するQST本部の情報セキュリティの管理体制が不十分だったことも要因と認識しております。
4.再発防止措置
QSTにおいて、以下のランサムウェア攻撃に対する再発防止措置を講じました。
- ネットワーク機器のソフトウェアの更新を迅速に適用し、脆弱性を塞ぐ
- 多要素認証(例:ワンタイムパスワード)などの強固な認証方式の徹底
- 理事長直轄の下で外部のセキュリティの専門家が指導的な役割を果たす体制を早期に構築する
多くの患者さんの大切な情報を扱う病院において、こうした事案が発生したことについて、大変重く受け止めております。ご心配、ご迷惑をお掛けしている医療機関の皆様に対しまして、深くお詫び申し上げます。
本システムに登録されている情報の漏えい等については、これまでの調査においては確認されていませんが、継続し調査を進めてまいります。
注1:「ランサムウェア」
感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価を要求する不正プログラム
注2:
ただし、J-CROSの実施機関担当者(24名)およびJRODの治療担当医師等(1088名)の個人情報(氏名及び所属機関情報)を含んでいます。