2026年5月、九州大学の研究室が管理する端末がランサムウェアに感染し、九州大学病院の患者43名の氏名と手術動画データが外部に流出した可能性があることが公表されました。電子カルテなどの診療システム本体に被害は及びませんでしたが、「部門・研究室が個別に管理する端末」が侵入口になった点は、多くの組織に共通する盲点です。
本記事は情報システム部門のセキュリティ担当者向けに、事案の事実関係を整理したうえで、現場目線での率直な課題と、対策の進め方を考えます。
この記事でわかること
- 九州大学で何が起きたのか(事実関係の整理)
- なぜ「研究室端末」が盲点になり、狙われるのか
- 被害を限定できた要因(ネットワーク分離)の評価
- 現場目線での率直な課題と、IPAの公的指針を使った進め方
何が起きたのか
九州大学の研究室で管理していた端末が不正アクセスを受け、ランサムウェアに感染したとみられる事案です。端末内に保存されていた九州大学病院の患者情報が、外部へ流出した可能性が「否定できない」と発表されています。
| 項目 | 内容 |
|---|---|
| 被害組織 | 九州大学/九州大学病院 |
| 発生日 | 2026年5月25日(不審な挙動を検知) |
| 公表日 | 2026年6月10日(大学発表) |
| 侵入経路 | 研究室が管理する端末への不正アクセス(ランサムウェア感染とみられる) |
| 流出した可能性のある情報 | 患者43名の氏名、手術動画データ |
| 診療システムへの影響 | なし(感染端末は診療ネットワークと分離) |
| 初動対応 | 当該端末をネットワークから即時遮断、警察と連携し調査 |
なお、ランサムウェアの種類や攻撃グループは本記事執筆時点で公式には特定・公表されていません。一部報道で憶測はありますが、確定情報ではないため本記事では断定しません。また、流出した可能性のある情報が実際に公開・悪用された事実は現時点で確認されていません。
なぜ「研究室端末」が盲点になるのか(以下:一般的なお話です)
研究室や個別部門が管理する端末は、情シス部門の統制(資産管理・パッチ適用・EDR導入)が届きにくく、いわゆるシャドーIT化しやすいためです。本来は組織のセキュリティ標準が適用されるべき端末が、実態としては各現場任せになっているケースは大学に限らず一般企業でも珍しくありません。
機微なデータが、本来の管理システムの外に「コピー」されて存在しているのは、被害範囲を生む直接の要因になります。
研究室・部門管理の端末では、主に次のような問題が情シスの可視性の外で進行します。
- 資産の把握漏れ:どの端末がどこにあり、誰が何の目的で使っているか把握できていない。
- 対策の未適用:OS・ソフトの更新、EDR/アンチウイルス、ディスク暗号化が現場任せで抜ける。
- データのローカル滞留:基幹システムから機微データを取り出し、端末や外付け媒体に保存したまま放置される。
被害を限定できた要因:ネットワーク分離
本事案で評価すべきは、感染端末が診療用ネットワークと切り離されていたため、電子カルテなど中核システムへ被害が波及しなかった点です。結果として診療業務は通常通り継続できています。
これは「万一どこかが侵害されても、被害を一区画に封じ込める」というネットワーク分離・セグメンテーションの考え方が機能した好例といえます。自組織でも、機微データを扱う系統と一般業務系統が適切に分離されているかを確認する好機です。
現場目線:端末の細部まで目が届かないもどかしさ
情シス担当者の立場で言えば、「組織内のすべての端末を完全に掌握する」のは理想であって、現実には難しい——というのが正直なところではないでしょうか。研究室や各部門が業務上の必要から導入した端末、担当者の異動で引き継ぎが曖昧になった端末、申請されないまま接続された端末。どこかに必ず“見えていない部分”が残ります。今回の事案も、決して他人事ではありません。
ツールによる資産管理やEDRの導入はもちろん有効ですが、それだけで現場の隅々までカバーしきれるわけではありません。結局のところ、端末を実際に使うエンドユーザ一人ひとりの意識が最後の砦になります。「機微なデータを安易に端末へコピーしない」「不審な挙動に気づいたらすぐ情シスへ連絡する」——こうした基本動作を組織に根づかせるには、一度の通達では足りません。遠回りに見えても、地道な教育と啓発を続けていくことが、技術的対策と並ぶもう一つの柱になります。
情シスは何をすべきか——IPAの指針を出発点に
では具体的に何から手をつければよいか。自己流に走るより、公的機関がまとめた指針を出発点にするのが近道です。独立行政法人 情報処理推進機構(IPA)が、組織の状況に応じた実践的な資料を無償で公開しています。まずは自組織に合うものから目を通してみてください。
- ランサムウェア対策特設ページ(IPA):感染経路から予防・検知・復旧まで、対策に必要な情報が集約されています。今回の事案にもっとも近いテーマです。
- 中小企業の情報セキュリティ対策ガイドライン(IPA):資産管理台帳や規程サンプル、自社診断ツールなど付録が充実。組織的な土台づくりに使えます。
- 対策のしおり(IPA):エンドユーザ向けの分かりやすい啓発資料。前述のユーザ教育・啓発の教材としてそのまま活用できます。
- セキュリティインシデント対応机上演習教材(IPA):「もし起きたら」を関係者で予行演習するための教材。初動の連絡・判断を事前に擦り合わせておけます。
大切なのは、これらを“読んで終わり”にせず、自組織の運用ルールや教育プログラムへ落とし込むことです。
まとめ
- 九州大学の研究室管理端末がランサム被害を受け、患者43名の氏名・手術動画が流出した可能性がある。
- 情シスの統制が届きにくい部門管理端末と、端末へのデータのローカル滞留が構造的な盲点。
- 技術的対策(ネットワーク分離・EDR等)に加え、地道なユーザ教育・啓発が欠かせない。具体的な進め方はIPAの公的指針を出発点にするとよい。
出典
- Security NEXT「研究室端末でランサム被害、手術動画が流出か – 九大」 https://www.security-next.com/185733
- ITmedia NEWS「九大の研究室にランサム被害、病院患者43人の手術動画・氏名流出のおそれ」 https://www.itmedia.co.jp/news/articles/2606/11/news078.html
- INTERNET Watch「九州大学病院でランサムウェア感染か、患者43人の氏名・手術動画が流出の可能性」 https://internet.watch.impress.co.jp/docs/news/2116327.html
※本記事は公表情報および報道に基づき作成しています。調査の進展により事実関係が更新される可能性があります(執筆時点:2026年6月)。
コメント