1. 概要
2026年5月25日、九州大学の研究室が管理する端末にランサムウェア感染とみられるサイバー攻撃(不正アクセス)が発生しました。この端末には九州大学病院の患者43名の氏名と手術動画データが保存されており、外部に流出した可能性があります。
九州大学は2026年6月10日に事実を公表しました。当該端末は診療用ネットワークとは切り離されていたため、電子カルテ等の診療用システムへの影響は確認されておらず、診療業務は通常通り実施されています。
| 項目 | 内容 |
|---|---|
| 発生日 | 2026年5月25日 |
| 公表日 | 2026年6月10日 |
| 被害組織 | 九州大学(研究室管理端末) |
| 被害情報の保存元 | 九州大学病院 |
| 攻撃手法 | ランサムウェア感染(不正アクセス) |
| 流出可能性のある情報 | 患者43名の氏名・手術動画データ |
| 実際の悪用確認 | 現時点では確認されていない |
| 診療業務への影響 | なし(通常通り実施) |
2. 被害の詳細
流出した可能性のある情報
| 情報の種類 | 対象 |
|---|---|
| 氏名 | 患者43名 |
| 手術動画データ | 患者43名 |
手術動画は医療行為の記録として撮影・保管されるものであり、患者のプライバシーに直結する機微な情報です。現時点では、これらの情報がインターネット上で実際に公開・悪用されたという事実は確認されていません。
ただし、近年のランサムウェア攻撃では「二重恐喝(Double Extortion)」と呼ばれる手口が一般化しています。データを暗号化して身代金を要求するだけでなく、支払いに応じない場合にはダークウェブ等でデータを公開すると脅迫するケースも多くあります。今後も継続的な監視が必要です。
インシデント発覚の経緯
研究室端末上で不審な挙動が検知されたことをきっかけに被害が発覚しました。不審な挙動を検知後、端末はただちにネットワークから遮断されましたが、その時点でランサムウェアによるデータの暗号化・窃取が行われていた可能性があります。
診療用システムとの分離状況
今回被害を受けた端末は、九州大学病院の診療用ネットワークとは切り離された環境にありました。そのため、電子カルテ等の診療用システムへの被害拡大は確認されていません。
3. 現在の対応状況
九州大学および九州大学病院は、以下の対応を実施しています。
- ネットワーク遮断: 不審な挙動を検知後、当該端末をただちにネットワークから遮断
- 患者への個別連絡: 対象となる患者43名に対して個別に連絡・謝罪を実施
- 警察との連携: 警察と協力し、攻撃の原因・被害範囲について調査を継続
- 被害拡大の監視: 流出した情報の外部での悪用有無について継続調査中
問い合わせ先として、九州大学病院事務部総務課(TEL:092-642-5013、平日9:00〜17:00)が設置されています。
4. 情シス担当者へのポイント
今回のインシデントは「研究室が管理する端末」が感染源となりました。医療機関や大学に限らず、情シス部門の管理が行き届きにくい部門端末・研究用端末でも同様のリスクが存在します。「自組織でも起きうる」という視点で、以下のポイントを確認してください。
① 研究・部門端末の EDR カバレッジを確認する
研究室や特定部門の端末は、「特殊なソフトウェアが動いているから」「古い OS を使っているから」という理由で EDR(Endpoint Detection and Response)の導入が後回しにされがちです。しかし、こうした端末には患者情報・機密データが保存されているケースがあります。
確認・対策の例:
- SCCM / Intune などのデバイス管理ツールで、EDR エージェントが未インストールの端末を棚卸しする
- 特殊要件がある端末でも適用可能な EDR ソリューションを選定する(例:エージェントレス型の監視)
- 最低限、Windows Defender(Microsoft Defender for Endpoint)の有効化と定義ファイルの自動更新を徹底する
- 「管理台帳にない端末」を定期的に発見・登録するスキャンを実施する
② ネットワークセグメンテーションの有効性を再確認する
今回、被害端末が診療用ネットワークとは分離されていたことで、電子カルテ等への被害拡大が防がれました。これは適切なネットワーク分離が機能した好事例です。
しかし、「分離しているつもり」でも実際には経路が存在するケースがあります。定期的な見直しが必要です。
確認・対策の例:
- 研究用・業務用・診療用・ゲストネットワークを VLAN 等で明確に分離する
- ファイアウォールルールを定期的にレビューし、セグメント間の不要な通信経路を遮断する
- ゼロトラストネットワークアクセス(ZTNA)の導入を検討し、「接続できる端末を最小化」する
- 端末の種別(管理対象・非管理対象・研究室用等)ごとにネットワークアクセスポリシーを定義する
③ 個人情報の端末保存ルールを整備する
今回のインシデントの核心のひとつは、「研究室端末に患者の手術動画という高感度な個人情報が保存されていた」点にあります。業務上の理由があったとしても、端末への個人情報の保存ルールが整備されていれば被害を最小化できた可能性があります。
確認・対策の例:
- 個人情報・機密データをローカル端末に保存することの可否・手順を規定する
- クラウドストレージ(SharePoint / OneDrive 等)や専用の保護されたサーバーへの保存を原則とし、ローカル保存を例外扱いにする
- DLP(Data Loss Prevention)ポリシーを導入し、不適切な保存や転送を検知・制御する
④ バックアップの品質とランサムウェア耐性を検証する
ランサムウェアに感染した場合、暗号化前のデータを復元できるかどうかはバックアップの品質にかかっています。バックアップが同じネットワーク上にある場合、バックアップ自体も暗号化される危険があります。
確認・対策の例:
- 3-2-1 バックアップルールを徹底する(3 つのコピー・2 種類のメディア・1 つはオフサイト)
- バックアップストレージに不変ストレージ(Immutable Storage)を採用し、バックアップデータの暗号化・削除を防ぐ
- 定期的にリストアテストを実施し、「バックアップから実際に復旧できること」を確認する
- バックアップの保持期間を十分に確保し、感染発覚前の状態に戻せるようにする
⑤ インシデント対応計画(IRP)と個人情報保護法上の報告義務を把握する
インシデント発生時に迅速に動けるかどうかは、事前の計画があるかどうかで大きく変わります。また、個人情報が関わる場合は、法令上の報告・通知義務が生じます。
確認・対策の例:
- インシデント対応計画(IRP: Incident Response Plan)を文書化し、定期的に机上訓練を実施する
- 個人情報保護法に基づく個人情報保護委員会への報告(重大な漏洩は 72 時間以内の速報が義務)と本人への通知の手順を整備する
- 警察・JPCERT/CC・所管官庁への連絡フローをあらかじめ確認しておく
- インシデント発生時のコミュニケーション手順(社内外への通知、広報対応)を明確化する
5. まとめ
今回の九州大学病院のインシデントは、「IT 管理が届きにくい研究室の端末」が攻撃の入口となった事例です。診療用ネットワークとの適切な分離により被害の拡大は防がれたものの、患者43名の氏名・手術動画という高感度な個人情報が外部に流出した可能性があるという深刻な事態となりました。
情シス担当者として、以下の観点で自組織のセキュリティ対策を見直してください:
- 管理対象外端末の棚卸し — EDR が未導入の端末を把握し、対応を優先する
- ネットワーク分離の徹底と定期的な検証 — 「分離しているつもり」になっていないかを確認する
- 個人情報の端末保存ルールの整備 — ローカル保存の原則禁止・DLP 導入を検討する
- ランサムウェア耐性のあるバックアップ — 不変ストレージ・オフサイトバックアップを確保する
- インシデント対応計画と法令報告義務の把握 — 72 時間以内の速報に対応できる体制を整える
YJK
では、ランサムウェア対策・インシデント対応支援を承っております。
端末管理やネットワークセグメンテーションの見直しでお困りの場合は、お気軽にご相談ください。
6. 出典
- 九州大学: 研究室管理端末への不正アクセス(ランサムウェア感染)による個人情報流出の可能性について(2026年6月10日)