近年、医療機関等に対するサイバー攻撃が増加傾向にあり、その脅威は日増しに高まっています。そこで、厚生労働省から「サイバー攻撃リスク低減のための最低限の措置」の内容をご案内させていただきます。

●サイバー攻撃リスク低減のための最低限の措置
・パスワードを強固なものに変更し、使い回しをしない
攻撃を受けた医療機関ではパスワードが容易に推測可能なものであったり、4桁と短かった例が確認されているそうです。

・IoT機器を含む情報資産の通信制御を確認する
医療機関等のネットワークについて、通信網を正確に把握し、関係事業者と協力して適切に対策が講じる必要があるようです。

・ネットワーク機器の脆弱性に、ファームウエア等の更新を迅速に適用する
サイバー攻撃の被害を受けた医療機関では、ネットワーク機器のバージョンアップやアップデートなどが適切に行われていない事例が多く確認されているそうです。

特に上記1番目のパスワードについて、被害を未然に防ぐためには、強固なID・パスワード設定が必要です。また、パスワードの使い回しは漏えいリスクを高め、一度の漏えいにより被害範囲が拡大しうるため、非常に危険です。

●危険なID/パスワードの例
Administrator（工場出荷時の設定等）
123456（単純な羅列）
p@$$word（単純な置き換え）
1qaz2wsx（キーボードの配列）
uchidaHospital、uchidaTaro（予測可能、施設の名称、代表者名など）

●強固なパスワードとは
長く、複雑で、推測困難なものが推奨されます。
13桁以上（桁数が多いほど、機械的な総当たりでの解析が困難）
英数字、大文字、小文字、記号の混在（組み合わせが多いほど解析が困難）
ランダムな文字列（単語等の組み合わせによる解析を回避）
参考にしていただければと存じます。

●参考
厚生労働省　医療機関等におけるサイバーセキュリティ対策の取り組みについて
https://www.mhlw.go.jp/content/10808000/001283914.pdf
厚生労働省　医療機関におけるサイバーセキュリティ対策チェックリスト（令和6年5月）
https://www.mhlw.go.jp/content/10808000/001253950.pdf