サイバー攻撃は他人事ではない？クリニックのホームページを守るための基礎知識

「うちは小さなクリニックだから関係ない」——と、思っていませんか？
実は、医療機関のホームページは、サイバー攻撃で“狙われやすい”標的のひとつ。
患者情報を扱う業種として信頼性が重視される今こそ、サイバー攻撃の基礎を理解し、心構えをしておくことが大切です。
本コラムでは、ホームページを狙ったサイバー攻撃とその対策に関する基礎知識をまとめています。

目次
「サイバー攻撃」は特別な話ではない
クリニックのホームページで実際に起きた被害例
改ざん・不正アクセス・フィッシングの違い
ホームページを守る３つの基本対策
トラブルが起きたときに取るべき行動
まとめ：サイバー攻撃からクリニックのホームページを守るために

「サイバー攻撃」は特別な話ではない

最近のニュースでは、「大企業がサイバー攻撃を受けた」という報道をよく見かけます。
一言でサイバー攻撃といっても、手口や被害の内容はさまざまで、中にはホームページが攻撃されるケースもあります。

攻撃の目的は、

• 広告や”詐欺サイト”へのリンクを埋め込む
• 乗っ取ったホームページを他の攻撃の踏み台に使う
• アクセスした人を”偽サイト”に誘導して情報を盗む

など、多岐にわたります。

攻撃の対象は大企業だけではありません。
むしろ近年は、セキュリティ対策が十分でない中小規模のホームページが狙われる傾向にあります。
かつ「医療機関」という信頼性の高い看板を持っている点で、クリニックのホームページはサイバー攻撃の標的になりやすいのです。

クリニックのホームページで実際に起きた被害例

ここでご紹介するのは、決して特別な医療機関だけで起きている話ではありません。
多くは、「知らないうちに起きていた」「あとになってから気づいた」というケースです。

事例➀ トップページが書き換えられた

ホームページの内容が改ざんされ、身に覚えのない広告や文字列が表示されるケースがあります。
放置すると、検索結果に「不正なサイトの可能性があります」と警告が出てしまい、患者さんの信頼低下につながることもあります。

事例② メールフォームを悪用された

問い合わせフォームが自動送信プログラムの標的となり、迷惑メールが大量に届いたり、サーバーに負荷がかかって表示できなくなったりすることがあります。

事例➂ 偽サイトが作られた

医院名や住所を使い、見た目がよく似た偽サイトが作られ、「予約はこちら」などのページに誘導される事例も報告されています。
患者さんに誤解を与え、信用問題に発展する恐れがあります。

改ざん・不正アクセス・フィッシングの違い

ここまでにご紹介した被害例は、次のように分類することができます。
どの言葉も、一度は耳にしたことがあるのではないでしょうか。

それぞれで意味は少しずつ異なりますが、共通して言えるのは、ホームページを入口として被害が起こるということです。
これらの被害を防ぐには、ホームページを守るための対策が必要です。

ホームページを守る３つの基本対策

いきなり対策といわれても、「何から手をつければいいのか分からない」と感じる方も多いかもしれません。
まずは共通して押さえておきたい、基本的な対策を知っておきましょう。
ポイントは、「通信を守る」「侵入を防ぐ」「元に戻せるようにする」ことです。

対策➀ WAF（ワフ）で不正な通信をブロック

WAF（Web Application Firewall）は、外部からの不正なアクセスや攻撃の兆候を自動的に検知・遮断する仕組みです。
難しく聞こえるかもしれませんが、「入口で不審者をチェックしてくれる見張り役」と考えると分かりやすいでしょう。
これにより、改ざんや不正ログインのリスクを減らすことができます。

対策② SSL（通信の暗号化）で情報を守る

SSLとは「通信を暗号化する仕組み」です。
通信を暗号化すると、入力フォームから送信された名前や電話番号などが第三者から見えなくなり、情報の盗み見を防ぐことができます。
URLが「https://」で始まるホームページには、SSLが導入されています。

対策③ 定期バックアップで「万一」に備える

サイバー攻撃の手口は日々巧妙化しているため、どんなに対策をしても、100%安全ということはありません。大切なのは、被害を受けてもすぐ復旧できるようにしておくこと。
定期的にデータをバックアップしておくことで、万一改ざんや削除が起きても、以前の状態に戻すことができます。
バックアップは「ダメージを最小限に抑える」最後の砦です。

トラブルが起きたときに取るべき行動

サイバー攻撃を受けた疑いがある場合、焦って操作を続けると被害が広がることもあります。
以下のポイントを参考に、落ち着いて対応しましょう。

ポイント➀ 状況を確認

まずは落ち着いて、「ホームページだけの問題か」「院内のパソコンにも影響が出ているか」を確認します。
院内のパソコンにも異常がある場合は、いったんインターネットから切り離しましょう。

ポイント② ホームページ制作会社・サーバー管理会社に連絡

ホームページやサーバーの管理会社に調査を依頼しましょう。
その際、症状・発生日時・気づいた経緯などを正確に伝えることが、解決に役立ちます。

ポイント➂ 患者さんへの影響に応じた対応

ホームページの表示や内容だけに問題がある場合は、バックアップをもとにホームページを復旧します。
この対応は、ホームページ制作会社やサーバー管理会社に依頼しましょう。

偽サイトの存在が確認された、または情報流出の可能性がある場合は、患者さんへの影響が想定されるため、早めに告知を行い、必要に応じて警察などの関係機関へ相談しましょう。

いずれの場合も、自己判断で対応せず、ホームページ制作会社やサーバー管理会社と連携して進めることが重要です。

サイバー攻撃からクリニックのホームページを守るために

サイバー攻撃は大規模な医療機関だけの問題ではなく、どのクリニックにも起こりうる“現実的なリスク”です。

クリニックのホームページを安全に保つには、

• 改ざんや不正アクセスに備えるには、WAFの導入
• 情報を守るには、SSLの維持
• 被害を最小限にするには、定期バックアップ
•  万一のときは早めに相談

これらの基本を知り、備えておくことが重要です。

ニチイ学館の医療機関・調剤薬局向けホームページ制作サービスMediClips（メディクリップス）では、全ページにSSLを導入し、ホームページ公開後のセキュリティ対策にも配慮した管理・運用を行っています。

ホームページはクリニックの顔であり、「信頼の入口」です。
安全なホームページ管理体制を整え、長く安心して運用できる環境を保っていきましょう。