Gemmed ジェムメド データが拓く新時代医療

運営会社 GLOBAL HEALTH CONSULTING
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
0521プレミアムセミナー0422ミニセミナー
GemMed | データが拓く新時代医療 > 医療提供体制改革 > Ivanti社ソフトウェアに深刻な脆弱性を確認、攻撃事例も確認されており、すぐさま最新バージョンへの更新等の対策が必要—NISC

Ivanti社ソフトウェアに深刻な脆弱性を確認、攻撃事例も確認されており、すぐさま最新バージョンへの更新等の対策が必要—NISC

2025.4.11.(金)

Ivanti社のソフトウェアに深刻な脆弱性が発見された。放置すればデータの改ざん・削除・漏洩などの恐れがあり、診療に多大な支障が出る可能性もある(攻撃も確認されている)。ただちにソフトウェアを最新のバージョンに更新するなどの対応をとってほしい—。

【対象ソフトウェア】
▽Ivanti Connect Secure 22.7:R2.6より前
▽Pulse Connect Secure(サポート終了済み):9.1x

内閣官房内閣サイバーセキュリティセンター(NISC、National center of Incident readiness and Strategy for Cybersecurity)の重要インフラグループは4月4日に「Ivanti製品の深刻な脆弱性(CVE-2025-22457)について(注意喚起)」を示し、医療機関等を含めた全分野に注意喚起を行いました。

我が国の医療機関でも、サイバー攻撃により診療停止に追い込まれる事態が散発

企業や医療機関などがサイバー攻撃を受け、甚大な被害が発生する事例が我が国でも散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、2022年秋には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。

この点、医療機関に対しては「一般にサイバーセキュリティ対策が甘い」「鍵のかかっていない金庫のようなものである」との厳しい指摘があります。

そこで、厚生労働省では、医療機関におけるサイバーセキュリティ対策として、例えば次のような取り組みを行っています。
(1)「医療情報システムの安全管理に関するガイドライン」を改訂し、例えば、システム管理者のみならず、医療機関の管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—ことなどを求める(関連記事はこちらこちら

(2)都道府県による立入検査(医療法第25条第1項・第3項)において「サイバーセキュリティ対策」確認を求める(2023年6月からの検査に適用、関連記事はこちら

(3)医療機関・システムベンダー向けのサイバーセキュリティ対策「チェックリスト」を提示し、これに基づいて▼各医療機関等が自己点検を行う▼都道府県が(2)の立入検査を行う—

(4)医療機関において「サイバー攻撃を防ぐ」ことにとどまらず、「攻撃を受けた際にどう対応し、どう復旧するか」も見据えたBCP(事業継続計画)を各医療機関で策定することが重要であるとし、「平時対応→攻撃検知→初動対応→復旧対応→事後検証」を盛り込む「サイバー攻撃を想定した事業継続計画(BCP)」策定の確認表を公表する(関連記事はこちら)。

また、こうした取り組みにはコストもかかるため2024年度診療報酬改定での手当て(【診療録管理体制加算】の見直しなど)も行われています。



他方、政府は、コンピュータシステムへの不正アクセスやコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、2000年に内閣官房に「情報セキュリティ対策推進室」を設置。2005年に組織体制を強化した情報セキュリティセンター(NISC)に改組し、サイバーリスクに関する情報の収集、関係者への普及啓発などを行っています(NISCのサイトはこちら)。

今般、NISCは下記のIvanti社のソフトウェアに脆弱性が発見されたことを通知。対象ソフトウェアを使用している機器等において、「認証されていないリモートの攻撃者による任意のコード実行」などの恐れがあります。
【対象ソフトウェア】
▽Ivanti Connect Secure 22.7:R2.6より前
▽Pulse Connect Secure(サポート終了済み):9.1x

あわせてNISCでは「脆弱性を悪用した攻撃が確認されている」ことを明らかにし、「対象ソフトウェアの最新のバージョンへの更新」を強く勧めています。あわせて、サポート終了済みの製品においても本脆弱性の悪用が確認されていることから「対象製品を使用している場合には直ちに機器等を更新する」よう求めています(参考サイトは▼こちら(April Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways(CVE-2025-22457)(Ivanti社))こちら(Ivanti Connect Secureなどにおける脆弱性(CVE-2025-22457)に関する注意喚起(JPCERT/CC)))。



脆弱性を放置すれば、上述のように「患者の電子カルテをはじとする医療データが暗号化され診療停止に追い込まれる」事態も発生しかねません。すべての医療機関等で早急な対応(対象ソフトウェアの最新版へのアップデート等)が求められます。



病院ダッシュボードχ ZEROMW_GHC_logo

【関連記事】

医療機関でも「DDoS攻撃」による被害を抑える対策、被害を想定した対策とともに、攻撃に加担しないための対策を—NISC
マイクロソフト製、Fortinet社製のソフトウェアに深刻な脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新等を—NISC
Ivanti社ソフトウェアに深刻な脆弱性を確認、攻撃事例も確認されており、すぐさま最新バージョンへの更新等の対策を—NISC
Palo Alto Networks社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC
マイクロソフト社のソフトウェアに新たな脆弱性、攻撃も確認されており、すぐさま最新バージョンへの更新などの対策を—NISC
マイクロソフト社のソフトウェアに脆弱性を確認、すぐさま最新バージョンへの更新などの対策を—NISC
Palo Alto Networks社のソフトウェアに脆弱性があり、これを悪用した攻撃も増加、すぐさま最新バージョンへのアップデートを—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさまセキュリティ更新プログラム等の適用を—NISC
マイクロソフト社のソフトウェアに脆弱性発見、すぐさま最新バージョンへの更新などの対策を—NISC
Fortinet社のソフトウェアに脆弱性あり、最新バージョンに更新しデータ改善・漏洩など防止を—NISC
医療機関のサイバーセキュリティ対策チェックリストを公表、システムベンダと協力し平時からの対策を—厚労省
医療情報ガイドライン第6.0版を正式決定!医療機関の経営層も「サイバーセキュリティ対策」の積極的確保を!―厚労省