「病院から送られてきたらしいメールに変なURLが載っているけど、クリックして大丈夫?」
「医療機関もサイバー攻撃の標的になるの?患者情報は漏れていないの?」
ボス!佐賀の病院からなりすましメールが127万件も届いたって聞いたでしゅよ!病院のアドレスから詐欺メールが来たら信じてしまいましゅよね……
そうだな。「病院からのメール」というだけで信頼してしまう人は多い。それが狙い目だ。そしてこの事件の原因は技術的な高度さではなく、「推測しやすいパスワード」という単純なことだ。
病院の公式アドレスを名乗るメールでも詐欺の可能性があります。
この記事では、佐賀県医療センター好生館のメール乗っ取り事件の全容と、医療機関が今すぐ取るべきセキュリティ対策を解説します。
- 佐賀県医療センター好生館のメールアドレスが乗っ取られ、6月23日〜7月6日の約2週間で127万件の詐欺メールが送信された
- 原因は「推測可能なパスワード」の使用で、高度な攻撃技術ではなくパスワード管理の甘さが被害を招いた
- 医療機関のアドレスを使ったなりすましは受信者の警戒心が下がるため、フィッシング被害に直結しやすい
受信者側の適切な判断と医療機関側のパスワード管理改善の両方が、被害を防ぐ鍵になります。
目次
佐賀県医療センター好生館のメールが乗っ取られ、127万件の詐欺メールを送信
2026年7月7日、佐賀県医療センター好生館は管理するメールアドレスが不正利用されたと公表しました。
2週間で127万件──医療機関名を悪用した大規模なりすまし
不正送信は6月23日午後3時から7月6日午前10時まで約2週間にわたって続きました。
病院側が気づいて設定を変更するまでの間、大量の詐欺メールが不特定多数に送り続けられていました。
今回確認されている主な事実は次の通りです。
- 不正送信件数:約127万件(6月23日〜7月6日の約2週間)
- メール件名の例:「Payoff」「支払い伝票のPDFファイルをDropbox経由で受信しました」「現在、メール認証が必要です」
- 手口:URLクリックを誘導して外部の不審サイトに誘導するフィッシング型
- 個人情報漏洩:現時点では確認されていない
同館はホームページで注意を呼びかけるとともに、不正利用されたメールアドレスの削除とパスワードの強制変更を実施しています。
現在、メールを送信できない設定に変更して事態を収束させています。
病院名を名乗るメールがなぜ危険なのか
病院から来たメールって、つい信用しちゃいましゅよね……どう見分ければいいんでしゅか?
送信元アドレスが本物であっても、内容が「URLをクリックして」「認証してください」ならまず疑うことだ。医療機関が突然URLを送ってくることはほぼない。
医療機関を装ったなりすましメールが特に危険な理由は次の通りです。
- 「病院から来たメール」という信頼感から、受信者が通常より警戒心を下げてURLをクリックしやすい
- 送信元アドレスが本物の病院ドメインのため、メールフィルターを通過しやすい
- 患者や家族の不安心理を利用した「緊急」「要確認」などの件名で開封を促しやすい
「推測可能なパスワード」が招いた被害と医療機関が取るべき対策
今回の事件で病院側が「推測されやすいパスワードが原因」と認めた点は重大です。
単純なパスワードが127万件の被害を招いた──医療機関のセキュリティ課題
「推測されやすいパスワード」って、そんな理由で乗っ取られちゃうんでしゅか!?
残念ながら今でも多くの組織が「Hospital2024」「佐賀medical」のような推測しやすいパスワードを使っている。医療機関はIT人材が乏しいため、セキュリティが後回しになりがちだ。
厚生労働省は「医療情報システムの安全管理に関するガイドライン第6.0版」で、医療機関のアカウント管理とパスワードポリシーの整備を強く求めています(厚生労働省・医療情報ガイドライン)。
今回の事件から、医療機関が優先して取り組むべき対策は次の通りです。
- 長さ12文字以上・英数字記号混在のパスワードポリシーを全アカウントに適用し、定期的な変更を義務付ける
- メールアカウントに多要素認証(MFA)を導入し、パスワード漏洩だけでは不正ログインできない設計にする
- 不審なログイン試行を検知したら自動でアカウントをロックするシステムを導入する
- 職員への定期的なセキュリティ研修でフィッシングメールの見分け方を教育する
受信者側が今すぐできる自衛策
今回の迷惑メールを受け取った受信者側の対処法も重要です。
IPA(情報処理推進機構)は、送信元が信頼できる機関に見えても、URLをクリックする前に確認する習慣を推奨しています(IPA・フィッシング対策)。
受信者が取るべき対応は次の通りです。
- 「Payoff」「Dropbox経由のPDF」「メール認証が必要」などの件名は開かずに削除する
- 開いてしまった場合でも、本文内のURLは絶対にクリックしない
- 心配な場合は病院の公式ホームページや電話番号に直接確認する
まとめ
佐賀県医療センター好生館の事件は、「推測しやすいパスワード1つ」が127万件のなりすまし詐欺メールを引き起こしうることを示しました。
医療機関は患者の信頼を得やすいため、なりすましに悪用された際の被害は特に大きくなります。
パスワードポリシーの整備・多要素認証の導入・不審ログイン検知の仕組みを早急に整えることが求められます。
受信者側も「信頼できる送信元に見えても、URLは慎重に」という意識を持ち続けることが重要です。
病院から来たメールも怪しいかもしれないんでしゅね……URLはちゃんと確認するようにしましゅ!
そうだ。攻撃者は信頼を武器にする。ふふふ、疑うことは失礼ではなく、自衛の知恵だ。