サイバー犯罪
アンダーグラウンドで取引される医療データエコノミー
本ブログ記事では、流出した医療データが取引され、悪用・武器化される産業化された犯罪エコシステムの実態に迫ります。ランサムウェア攻撃によるデータ侵害を起点に、初期アクセスブローカーによるアクセス権の取引や偽造診断書を用いた保険詐欺などへと連鎖して拡大し続ける犯罪サプライチェーンが形成されています。
1. ランサムウェアを中核とする犯罪エコシステム
医療分野を標的とするサイバー犯罪では、依然としてランサムウェア攻撃が主要な手口となっています。特に、感染端末のロックやデータの暗号化に加え、情報漏洩を示唆する「二重脅迫」が常態化しています。二重脅迫とは、攻撃者が機密情報などを事前に窃取した上でデータを暗号化し、身代金が支払われない場合には、復号鍵の提供を拒むだけでなく、窃取した情報をリークサイト上で暴露、または、第三者へ販売すると脅す手口を指します。
上記が問題視される理由:医療・ヘルスケア機関は、業務の停止と情報漏洩という二重の被害に同時に直面するため、身代金の支払いを強く迫られる状況に追い込まれます。
リスクへの影響
- 診療体制や患者ケアに影響を及ぼす業務停止の発生
- 情報漏洩に伴い、HIPAA(Health Insurance Portability and Accountability Act)やGDPR(General Data Protection Regulation)などの法規制への対応が求められるリスクの増大
- 身代金の支払い、システム復旧、法的対応に伴う金銭的損失の増加
- 情報漏洩による長期的な信頼・評判の毀損
2. 高価値な商品として取引される医療データ
医療データは、サイバー犯罪者にとって依然として高い価値を持つ標的です。クレジットカードや銀行口座などの認証情報は、流出した場合でも停止や再発行などの変更手続きにより無効化が可能です。一方、患者の診断情報、治療歴、生体認証データなどの医療データは、個人に固有の情報であるため、流出後に変更したり無効化したりすることは容易ではありません。そのため、一度流出した医療データは長期間にわたり悪用可能性を維持し続け、保険詐欺やなりすまし行為などの不正活動に転用される可能性があります。
上記が問題視される理由:クレジットカード情報は、停止・再発行によって無効化が可能である一方、医療データは、その性質上、容易にリセットすることができません。そのため、流出による被害は時間の経過とともに深刻化する傾向にあります。
リスクへの影響
- 個人情報を悪用した長期的ななりすまし行為や保険詐欺の発生
- 機微な診断情報を悪用した標的型攻撃(ゆすり・脅迫など)のリスク増大
- 患者への直接的被害の拡大や医療機関に対する社会的信頼の重大な毀損
- アンダーグラウンド市場における需要の高まりに伴い、医療分野が継続的な攻撃対象となる可能性の増大
3. 産業化された犯罪エコシステム
サイバー犯罪を支えるアンダーグラウンド市場は、効率性と専門分化を基盤とし、取引型かつ拡張性を備えたマーケットプレイスへと高度化しています。
上記が問題視される理由:今日のサイバー犯罪は、従来と比較して迅速かつ容易に実行可能となっており、高度な技術を持たない攻撃者でも参入しやすくなっています。これは、専門分化された製品やサービスの登場により、攻撃プロセスが分業化・細分化され、攻撃者が必ずしもすべての工程を自ら実行する必要がなくなったためです。具体的には、侵害されたネットワークへのアクセス権、有効な認証情報、すぐに悪用可能な個人情報パッケージ(Fullz:フルズ)、RaaS(Ransomware as a Service)など、攻撃に必要な構成要素を個別に取得できる環境が形成されています。
リスクへの影響
- 参入障壁の低下により、医療・ヘルスケア機関を標的とする攻撃者の増加
- データ侵害から悪用に至るまでの期間の短縮(収益化の迅速化)
- 自動化や分業化の高度化により、攻撃総量の増大
4. 初期アクセスブローカーを起点とするサプライチェーン攻撃
初期アクセスブローカーは、セキュリティ侵害された環境へのアクセス権を潜在的な攻撃者に販売することで、初期侵入のハードルを大幅に低下させています。攻撃者が電子健康記録(EHR)や電子医療記録(EMR)のソフトウェアベンダを標的とした場合、その下流に位置する医療機関へと侵害が連鎖的に拡大し、大規模な二次被害を引き起こす可能性があります。
上記が問題視される理由:一度のセキュリティ侵害で数百の下流組織に同時に影響が及び、被害が広範囲に拡大するおそれがあります。
リスクへの影響
- 外部ベンダ(サードパーティ)におけるリスク管理の重要性の増大
- 医療エコシステム全体へと波及する連鎖的な侵害事例の発生
- 信頼されたパートナー企業を起点とするため、脅威検知が困難となる可能性の増大
- 大規模かつ組織化された攻撃にさらされるリスクの増加
5. グローバル化・専門分化により拡大を続ける脅威動向
サイバー犯罪活動は、多言語化や地域別の専門分化が進んでいるほか、医用画像システムを含む新たな攻撃対象領域へと拡大しています。対象領域は、DICOM(医用デジタル画像と通信規格)や外部に露出したPACS(医用画像保存通信システム)環境、医療関連の不正サービスへと拡大しており、偽造処方箋、不正な保険請求、偽造医療文書などを用いた詐欺手口も確認されています。
上記が問題視される理由:これらの脅威動向は特定の地域に限定されるものではなく、新たな攻撃対象領域(アタックサーフェイス)へと拡大し続けています。
リスクへの影響
- 攻撃者の属性判断の困難化や脅威監視の複雑化
- 医用画像システムなど、非従来型システムにおける新たなリスクの顕在化
- 隣接するアンダーグラウンド市場や犯罪エコシステムへの活動領域の拡大
- グローバルに収集される脅威インテリジェンスの適用範囲拡大の必要性
データ侵害からアンダーグラウンド市場へ:医療データの不正取引を追跡調査
12か月にわたる調査期間中、TrendAI Research™はアンダーグラウンドフォーラムへの投稿(7,779件)やダークウェブ上の出品情報(21,813件)を分析しました。その結果、医療データはサイバー犯罪を支えるアンダーグラウンド市場において、最も価値が高く汎用性のある商品群の一つであることが明らかとなりました。
このエコシステムは、専門分化された高度な犯罪サプライチェーンとして機能しています。具体的には、初期アクセスブローカーが脆弱性を突くなどして侵害した環境へのアクセス権をランサムウェアグループなどに販売します。このアクセス権により初期侵入を果たしたランサムウェアグループは、データを暗号化して人質とした上で、窃取したデータの暴露を示唆する「二重脅迫」によって身代金の支払いを強要します。身代金が支払われない場合、窃取したデータは販売され、収益化が行われます。なおアンダーグラウンド市場では、患者の医療記録、保険データ、認証情報、「フルズ(fullz)」と呼ばれる個人情報パッケージ(なりすまし行為に必要な情報一式)といった情報が大規模に取引されています。医療データは、その情報の豊富さ、長期的な悪用可能性、複数の詐欺手口への転用性により、アンダーグラウンド市場において高い価値で取引されています。
ランサムウェアに起因するデータ取引はアンダーグラウンド市場全体の3分の1以上を占め、その中核を担っています。加えて、直接的なデータ取引や初期アクセスブローカーによる仲介が、この犯罪エコシステムを高度化させています。グローバル化・多言語化対応が進むアンダーグラウンド市場では、英語話者のコミュニティが中心的な役割を果たす一方、トルコ語やポルトガル語話者のコミュニティでも活発な取引が確認されています。こうした動向は、言語圏や地域ごとの役割分担や専門分化が進んでいることを示しています。
医療分野を標的とする脅威動向は、大規模かつ影響力の大きい攻撃へと移行しています。特に、電子健康記録(EHR)や電子医療記録(EMR)のソフトウェアベンダや医療技術プラットフォームを標的とするサプライチェーン攻撃が増加しています。さらにランサムウェアリークサイトの拡大や専門分化された詐欺サービスの台頭も相まって、これらの脅威動向は、医療分野に対する攻撃が、従来の場当たり的なものから、大規模かつ利益追求型の「産業化されたサイバー犯罪」へと移行していることを示しています。
TrendAI Research™は2025年2月から2026年2月までの期間、サイバー犯罪を支えるアンダーグラウンド市場を調査しました。本セクションでは、次の医療関連カテゴリ8つに焦点を当てて解説します。「医療システムと医療ソフトウェア」「医療機器」「データ取引」「情報漏洩とランサムウェア」「マーケットプレイス上の出品情報」「ネットワークアクセス」「DICOMと医用画像システム」「医療環境に導入されたICS(産業制御システム)とSCADA(監視制御・データ収集システム)」。本調査は、「地下経済で取引される医療データ」に係る継続研究であり、「Cybercrime and Other Threats Faced by the Healthcare Industry、Securing Connected Hospitals」や「ヘルスケアに潜む脆弱性:インターネットに露出したDICOMサーバと患者データへのリスク」を基盤としています。これらの調査結果は、医療分野が最も情報漏洩リスクの高い分野の一つであることを示しています。
取引エコシステム:アンダーグラウンド市場における医療データの流通経路
医療データの取引エコシステムは、明確に構造化された犯罪サプライチェーンによって機能しています。初期アクセスブローカーは、医療ネットワークに内在する脆弱性を探索・悪用して不正侵入経路を構築し、そのアクセス権を販売しています。価格は、イスラエルの歯科画像診断クリニックのアクセス権で約100米ドル(1ドル = 約160円、約16,000円)から、台湾の医用品供給ネットワークのアクセス権で最大約2,000米ドルとさまざまです。これらのアクセス権は主に、RaaS(Ransonware as a Service)を運用するオペレータの手に渡り、ランサムウェア攻撃を展開する際に用いられます。代表的なランサムウェアグループには、Kazu、LockBit 5.0、Pear、RansomHub、Rhysida、Akiraなどが挙げられます。
これらのランサムウェアグループは、医療分野を重要な標的対象として位置付けています。医療データが極めて高い価値を持つことに加え、医療・ヘルスケア機関が患者ケアの中断や、HIPAA(米国医療保険の相互運用性と説明責任に関する法律)などの規制枠組みに基づく法的・規制上の影響を避けるために身代金を支払う可能性が高いと認識しているためです。
医療データの価格設定には、明確な階層構造が存在します(表1)。下位層:小規模かつ地域限定のデータ群(例:エジプトの検査機関から窃取された記録など)は、65〜400米ドル程度で取引されます。これらは大量に流通する「コモディティ化」されたデータ群であり、悪用可能な期間は比較的短いとされています。中位層:医療ソフトウェアベンダや地域医療ネットワークから流出したデータ群は、1,000〜8,000米ドル程度で取引されます。これらのデータは主に「個人情報窃取」や「保険詐欺」などの不正活動に悪用されます。上位層:医療分野を狙うランサムウェア攻撃においては、身代金要求額が50万米ドルに達しています。さらに大規模病院や医療ツーリズム施設(海外患者受入医療機関)に対する身代金要求額は、数百万ドル規模に及ぶおそれがあります。
医療データがアンダーグラウンド市場で高額取引される背景には、相互に関連する複数の要因が存在します。第一に、医療データは、アンダーグラウンド市場で流通する個人識別情報(Personal Identifiable Information)の中でも、最も豊富な情報を含んでいます。具体的には、患者属性情報、政府発行の識別番号(社会保障番号や国民IDなど)、保険契約情報、請求記録に加え、診断結果、治療歴、精神疾患や薬物乱用歴、医用画像といった健康に関する極めて機微な情報を含んでいます。第二に、これらのデータは金融情報よりも悪用可能な期間が長いという特徴を持ちます。クレジットカード情報は、無効化が可能な一方で、患者の医療記録は内容を変更することすら困難です。第三に、医療データは複数の不正行為に同時に転用されるおそれがあります。具体的には、個人情報の窃取、保険詐欺、処方箋の偽造、健康状態に関わる機微な情報を悪用した脅迫手口、他人の個人情報(医療IDなど)を用いた医療サービスの不正利用といったなりすまし行為が実行される可能性があります。
特に懸念される脅威動向としては、電子健康記録(EHR)や電子医療記録(EMR)のソフトウェアベンダがサプライチェーン攻撃の起点として狙われていることが挙げられます。単一のベンダ環境が侵害されるだけで、その下流に位置する数十から数百もの医療機関のデータにアクセスされるおそれがあります。攻撃者にとっては、個々の医療機関を直接攻撃するよりも、単一のベンダ環境に侵入してサプライチェーン攻撃を展開することで影響範囲を大幅に拡大させることができます。これは、サイバー犯罪全体がサプライチェーン攻撃へと移行している傾向を示しており、特に患者のプライバシーに対して深刻な影響を及ぼす可能性があります。
イランのハッキングフォーラム「IranHack」上では、データ侵害された医療機関に関する情報やインターネット上に露出したDICOMインフラの脆弱性を悪用する手口(エクスプロイト)などが取引されていました。これは、攻撃者がこれらのインフラから医用画像を窃取して収益化するためのツールやワークフローを構築していることを示唆しています。さらに、マーケットプレイス上の出品情報にDICOMファイルが明示的に含まれていることから、従来のテキストベースの医療データに限らず、デジタル医用画像データを対象とする新たな市場区分が形成されつつあることがうかがえます。
売り手側は、複数プラットフォームにおける継続的な取引実績、検証可能なデータサンプルの提示、フォーラム内でのコミュニケーションや行動規範の遵守を通じて買い手側との信頼関係を構築しています。こうした仕組みは、取引における摩擦を低減し、取引の迅速化に寄与するとともに、新規参入者にとっての参入障壁を低下させ、結果として犯罪エコシステムの拡大を助長しています。
ランサムウェアを中核とする地下経済
ランサムウェア攻撃に起因するデータ取引は、アンダーグラウンド市場全体の36.3%と最も大きな割合を占めています。これは、ランサムウェアグループが医療システムのデータを暗号化するだけでなく、それらのデータを窃取して販売するという手口が拡大傾向にあることを示しています。データ侵害後に収益化するというプロセスは、今日のランサムウェア攻撃における標準的な戦術となっています。「二重脅迫」の手口は、医療分野を標的とする主要なランサムウェアグループに広く採用されています。窃取されたデータは、リークサイトで暴露される、またはアンダーグラウンドフォーラムで販売される可能性があるため、被害者はシステム復旧だけでなく情報流出への対応も迫られるおそれがあります。
身代金の支払いを拒否された場合に備え、RaaSを運営するオペレータは、被害者から窃取したデータを暴露するための専用リークサイトを運用しています。TrendAI Research™の分析では、95の異なるRaaSオペレータのリークサイト上で7,610件の医療分野に係る暴露投稿が確認されました。これらの投稿には通常、ダウンロード可能なデータファイルや、被害者に心理的圧力をかけるためのカウントダウンタイマーが含まれています。タイマーが終了すると、窃取されたデータは販売対象となります。販売価格を開示しているリークサイトが存在する一方で、ダイレクトメッセージを通じて価格を提示する形態も確認されています。
医療データをリークサイト上に暴露する活動は、少数の主要ランサムウェアグループに集中していました(図6)。暴露された医療データ全体の40.4%をRhysidaが占め、次いでInterlockが28.1%と続いています。これら上位2グループの合計だけで全体の68.5%を占めています。中位層は、Medusa(7.9%)、Insomnia(7.0%)、SafePay(5.3%)、Payouts King(4.8%)で構成され、合計で全体の25%を占めています。残る3グループ、Kairos(2.3%)、Genesis(2.3%)、Akira(2.0%)は比較的小さな割合にとどまり、合計6.6%でした。図6の分布からは、医療データの暴露活動が少数の主要グループに強く集中していることが見て取れます。特に上位2グループの影響力は大きく、当該グループに対する摘発・妨害措置が実施された場合、医療分野における情報漏洩被害が大幅に抑制される可能性を示しています。
Rhysidaグループが最近関与を主張した情報流出事例は、医療関連分野で発生した単一の侵害事例から漏洩し得るデータ範囲の広さを示しています。2025年12月22日、バイオテクノロジー関連企業「Cytek Biosciences(以後、Cytek)社」は、データ侵害事例に関する通知を公表しました。同社によると、流出した可能性のある情報には、連絡先情報、生年月日、運転免許証番号、氏名、社会保障番号、健康・医療情報、財務情報、従業員アカウントの認証情報などが含まれているとのことです。Rhysidaグループは、Cytek社から窃取したデータをすでに売却したと主張し、その証拠としてデータサンプルを公開しましたが、売却価格は明らかにしていません(図7)。
図7. 2026年1月にRhysidaグループがリークサイト上で公開したデータ(バイオテクノロジー関連企業のものとされている)
95の異なるランサムウェアリークサイト上で医療データが暴露されている事実は、RaaSの普及に伴う分業化の拡大と、RaaSを用いて攻撃を試みるアフィリエイト(攻撃実行犯)の参入障壁低下を浮き彫りにしています。Payouts King、Kairos、Genesisといった小規模グループも同様に医療データの暴露を伴う攻撃キャンペーンを展開しており、医療分野があらゆるレベルの攻撃者(高度な技術を持つ者からそうでない者まで)を引き付けていることを示しています。
高価値な商品として狙われる医療データ
アンダーグラウンドフォーラム上で確認された取引の実態
TrendAI Research™は2025年2月から2026年2月までの期間において、医療関連カテゴリ8つにまたがる163件のアンダーグラウンドフォーラム上で、計7,779件の投稿を特定しました。投稿内容のうち、データ取引が全体の32.6%を占めており、窃取された医療情報に対する継続的かつ高い需要を示しています。次いで、情報漏洩やランサムウェア関連の投稿が16.5%、マーケットプレイス上の出品情報が16.3%と僅差で続いています。
一方で、より専門性の高い医療領域に対する関心は相対的に限定的でした。医療機器に関する議論は全体のわずか5.5%で、DICOMや医用画像システムに関する投稿は3.5%にとどまりました。
このエコシステムは、投稿活動が特定のフォーラムに集中している一方で、独占的な構造には至っていませんでした(図9)。本調査時、投稿活動はアンダーグラウンドフォーラム「Cracked.to」に集中しており、全体の17.6%を占める中心的なハブとして機能していました(図9)。一方、実質的な交流などは、複数のフォーラムに分散する形で確認されました。
Cracked.toフォーラムに投稿が集中する構造は、2025年1月に法執行機関が敢行した共同捜査「Operetion Talent」の一環として同フォーラムが摘発・解体されたことで一時的に崩壊しました。しかし、その抑止効果は短期間にとどまりました。摘発後、Cracked.toのプラットフォームは速やかに新たな運営体制のもとで再編され、Cracked.sh、続いてCracked.axへとリブランドされる形で活動が継続されています。この一連の動きは、アンダーグラウンドコミュニティが持つ高い回復力・適応力を示しています。
Exploit.inやXSS.isフォーラムのオペレータは、匿名性を重視する参加者向けにダークウェブ(Tor:The onion router)上にミラーサイトを運営しています。ところが、TrendAI Research™が追跡調査したフォーラムは、Dreadフォーラムを除き、すべてクリアネット上からアクセス可能でした。これは、フォーラム参加者の多くが匿名性の確保を必ずしも最優先としているわけではなく、公開された環境下でも比較的公然と活動している実態を示唆しています。
産業化されたマーケットプレイス上の取引エコシステム
アンダーグラウンド市場のマーケットプレイス
医療データや医療関連インフラへのアクセス権は、サイバー犯罪を支えるアンダーグラウンド市場において最も活発に取引される商品の一つとなっています。TrendAI Research™の分析では、9つの医療関連カテゴリにまたがる投稿が計21,813件マーケットプレイス上で確認されました。これらの投稿は、医療データを含む個人情報パッケージ(メディカルフルズ)や患者の医療記録の販売、医療ネットワークへの不正アクセスを可能にする認証情報の競売取引、窃取された医療保険データの取引などに関連するものでした(メディカルフルズとは、社会保障番号、保険情報、生年月日、財務情報、医療データ、運転免許証など、個人を特定してなりすますために必要な情報を包括的に含むパッケージのことです)。
アンダーグラウンド市場におけるマーケットプレイスは現在、医療データやデータベースへのアクセス権を収益化する主要な取引の場となっており、その取引量は、フォーラム上の議論投稿数を大きく上回っていました。
データ取引
データ取引に関する投稿は全体の14.9%を占めており、医療データベース、患者の医療記録、医療情報の直接販売などが行われていました。売り手は、各患者の医療記録から病院単位のデータベースダンプに至るまで様々な医療データをまとめ売り形式で提供しており、社会保障番号、生年月日、医療診断名、保険証番号、処方歴などの機微な情報がしばしば含まれてました。
保険詐欺
保険詐欺に関する投稿は全体の7.7%を占め、窃取された医療保険データを中心に犯罪エコシステムが形成されていることが判明しました。売り手は、保険証のスキャンデータや保険証番号、詳細な保険プロファイルなどを取引し、不正な保険請求、処方薬の不正取得、他人の医療IDを用いたなりすまし受診を可能にしています。特にメディケア(高齢者向け)やメディケイド(低所得者向け)といった公的医療保険に係る詐欺商材が多く取引されており、医療保険データベースは1,000米ドル程度で取引されていました(図12)。
アクセス権に関する取引
アクセス権販売に関する投稿は、初期アクセスブローカー関連カテゴリ全体の9.8%を占め、リモートデスクトッププロトコル(RDP)や仮想プライベートネットワーク(VPN)経由のアクセス権、医療ネットワークへのシェルアクセスなどが取引されていました。これらの出品情報には、標的組織の収益規模が明記されていることが多く、ランサムウェア被害発生時における身代金支払い能力を見積もった上で価格が設定されている可能性があります。ロシア語話者のフォーラムでは、医療保険データと併せて医療関連機関のIT管理パネルへのアクセス権(管理者権限付き)が出品されており、開始価格は4,000米ドル、入札単位は1,000米ドルに設定されていました(図13)。
認証情報に関する取引
認証情報取引に関する投稿は全体の8.2%を占め、電子健康記録(EHR)や電子医療記録(EMR)プラットフォーム、病院ポータル、医療向けSaaSアプリなど、医療システムなどに対するログイン認証情報が取引されていました。これらの認証情報は、多くの場合、情報窃取型マルウェアによって収集されたログや過去に流出したコンボリストから取得されたものと推測されます。
個人情報パッケージ(フルズ)に関する取引
医療情報を含む個人情報パッケージ「メディカルフルズ」は、その個人になりすますために必要な情報を包括的に含むデータ一式のことであり、独立した商品カテゴリとして取引されていました。本調査では、メディカルフルズの取引に関する投稿が1,607件確認されました。
グローバル化・専門分化の進行により拡大する医療分野の脅威動向
多言語化するアンダーグラウンド市場
医療データは、複数の言語コミュニティにまたがるグローバル市場で取引されています。
言語別の内訳では、英語が63.3%と大半を占め、トルコ語が13.9%、ポルトガル語が11.2%と続いています。これらの割合は、トルコやブラジルなど、それぞれの言語圏におけるフォーラム活動の活発さを示していると考えられます。一方で、これまでサイバー犯罪の中心とされてきたロシア語話者のフォーラムは全体のわずか3%にとどまっており、医療データ取引が従来のサイバー犯罪構造とは異なり、地理的に分散している実態を示唆しています。さらに、本調査で確認された9言語の存在は、医療データが言語的・文化的境界を越えて高い価値を持ち、広範な市場で流通していることを示しています。
英語が市場の大半を占めている一方で、各言語コミュニティがそれぞれ特定の市場分野で一定の役割を担っていることも判明しました。英語話者のフォーラムは非ネイティブ話者の言語能力にも比較的寛容であり、言語面で参入障壁の高いコミュニティに比べ、多様な言語背景を持つ参加者による取引や情報交換が活発に行われていました。この傾向については、2025年公開の調査レポート「英語圏サイバー犯罪アンダーグラウンドの現状・2025」にて詳説しています。同レポートでは、アンダーグラウンド市場で活動する英語話者のコミュニティが法執行機関による取り締まりやコミュニティの言語的多様化にどのように対応してきたかを分析しました。
また、本調査では、言語コミュニティごとの明確な専門分化も確認されました。ロシア語話者のコミュニティではフルズ(個人情報パッケージ)や身元詐称に係る取引が活発に行われており、トルコ語話者のコミュニティでは、侵害された電子健康記録(EHR)に関するデータの流通が確認されました。さらにドイツ語話者のコミュニティでは、処方箋・処方薬などに特化した取引活動が行われており、アラビア語話者のコミュニティでは、中東地域の医療システムから流出したとみられるデータが取引されていました。こうした言語の多様性は、フォーラム参加者や攻撃者の帰属判断を困難にするとともに、医療データを標的とするサイバー犯罪がグローバルに展開されていることを示しています。ただし、これらの役割分担や市場構造は固定的なものでなく、時間の経過とともに変化する可能性があります。
アンダーグラウンド市場で取引される医療データ
- 電子健康記録(EHR)・電子医療記録(EMR)を含むデータベースダンプ:医療・ヘルスケア機関のシステムから一括抽出された電子健康記録(EHR)・電子医療記録(EMR)のデータであり、患者の個人情報、診断コード(国際疾病分類第10版:ICD-10)、処置コード(医師診療行為用語:Current Procedural Terminology)、治療計画、医師の診療記録、投薬履歴、アレルギー情報、検査結果、保険情報など、様々な医療データを含んでいる可能性があります。アンダーグラウンド市場で取引される医療データの中でも特に高い価値を持つカテゴリとされています。
- 医療データを含む個人情報パッケージ(メディカルフルズ):氏名、性別、生年月日、人種、電話番号、住所、郵便番号、電子メールアドレス、受傷日、診断コード、診療機関情報、勤務先や職業、主保険および従属保険(一次保険・二次保険の保険契約番号、グループ番号、加入者ID、請求番号)、保護者情報などを含んでいる可能性があります。これらの情報は、個人情報窃取や保険詐欺の双方に悪用可能であるため、高額で取引される傾向にあります。
- 患者データベースダンプ:大量に一括抽出された患者の医療記録のことであり、氏名、生年月日、性別、住所、電子メールアドレス、携帯電話番号、職業などの情報を含んでいる可能性があります。
- 保険関連データ:健康保険の資格確認情報、請求書類、事前承認記録、診療履歴など、保険請求や医療サービス利用に関する情報を含んでいる可能性があります。
- 医用画像データ:X線画像、MRI / CTスキャン画像、超音波検査画像などのDICOMファイルを含んでいる可能性があります。
- 医療システムへのアクセス時に用いる認証情報:企業向けVPNポータルやFortinetなどのリモートアクセス基盤に対して有効な認証情報のことであり、医療ネットワークへの不正アクセスなどが実行される可能性があります。
偽造医療文書ビジネス
アンダーグラウンド市場では、偽造医療文書の取引が収益性の高いカテゴリとして成立していました。対象となるのは、医師の診断書、障害証明書、労災補償関連書類、病欠証明書などであり、これらは公的給付制度の不正受給、休暇・医薬品の不正取得などを目的として悪用される可能性があります。価格は25米ドルから設定されていました。
この種の不正活動は、中南米地域において特に活発であり、需要と供給の大部分が同地域に集中していました。一方で、米国や中国を標的とした偽造書類の依頼も散発的に確認されていることから偽造医療文書ビジネスの需要は、特定地域に限定されず、広範に分布していることが示唆されます。
医療データの参考価格
医療データの価格帯は幅広く、小規模かつ地域限定のデータ群では65米ドルから取引される一方、医療ソフトウェアベンダに対する身代金要求目的に悪用可能な電子健康記録(15GB)では50万米ドルに達するなど、大きなばらつきが確認されています(表1)。医療データを含む個人情報パッケージ(メディカルフルズ)は、金融詐欺に加え、保険詐欺、医療に係るなりすまし行為、処方箋の不正取得など、複数の不正活動を可能にすることから、金融に係る一般的な個人情報と比較して1レコードあたりの価格が高い傾向にあります。
地理的・組織的要因に基づく標的選定の傾向は、攻撃者の優先順位や関心領域の違いを示すとともに、市場価格の形成にも大きな影響を与えています。
本調査では、攻撃者が主に米国の医療分野を標的としていることが判明しました。同国の医療データには、なりすまし行為や不正請求に必要な個人情報が多く含まれているため、アンダーグラウンド市場で活発に取引されるとともに、保険詐欺や個人情報窃取などの不正活動に悪用されていると考えられます。
インドでは、大規模なユーザ基盤を有する医療技術プラットフォームが標的となる事例が増えており、中東地域では、医療ツーリズム施設(海外患者受入医療機関)や富裕層患者の存在を背景に、医療データが高価格帯で取引される傾向が確認されています。
表1には、2026年初頭にアンダーグラウンド市場で確認された医療データの取引価格の例を列挙しています。
セキュリティ上の推奨事項
こうした脅威動向に直面する医療・ヘルスケア機関は、以下の4つの優先事項に重点的に取り組み必要があります。第一に、セキュリティ体制の現状を把握することです。攻撃者が最初に狙う可能性のあるシステム、脆弱性、設定上の弱点を特定し、自組織のリスク状況を明確化する必要があります。
第二に、攻撃対象領域(アタックサーフェス)の全体像を把握することです。対象には、医療ネットワークに接続されたシステム、利用中のソフトウェアや当該ベンダ、外部公開されているIT資産などが含まれます。近年のランサムウェア攻撃の多くは、医療ネットワーク内部ではなく、外部に露出したIT資産を足がかりとして初期侵入を試みるためです。
第三に、自組織のIT環境内に潜伏する脅威を継続的に監視することです。例えば、TrendAI Vision One™のWorkbench機能を活用することで、ランサムウェア攻撃の兆候、認証情報の窃取、データの外部送出といった不審な挙動を可視化でき、警告アラートとして顕在化する前の微細なシグナルを把握することが可能となります。
第四に、サプライチェーンやベンダリスクを継続的に管理することです。ベンダリスクは年次評価のみで完結させるのではなく、継続的な管理対象として扱う必要があります。医療データを扱うベンダや関連事業者との依存関係を把握するとともに、情報漏洩やセキュリティ侵害の兆候がないかを継続的に監視することが重要です。
ランサムウェア攻撃や二重脅迫への対策
脅威:Rhysida、LockBit、Medusaなどのランサムウェアグループは、データの暗号化と情報窃取を組み合わせた「二重脅迫」の手口を用いて医療分野を標的とした攻撃活動を継続的に展開しています。
ランサムウェアグループは、患者の医療記録をはじめとする機密情報を事前に窃取した上でデータを暗号化し、身代金が支払われない場合には、復号鍵の提供を拒むだけでなく、窃取した情報をリークサイト上で暴露、または、第三者へ販売すると脅します。こうした二重脅迫の手口により、被害者への圧力を強め、身代金を支払わせようと試みます。ランサムウェア攻撃による被害を最小限に抑えるためには、暗号化処理や外部への情報漏洩が発生する前の段階でランサムウェアの不正活動を検知することが極めて重要です。
認証情報窃取や情報漏洩への対策
脅威:初期アクセスブローカーによるVPNやRDPのアクセス権取引、情報窃取型マルウェアを介した認証情報の窃取、医療データベース(電子健康記録(EHR)や電子医療記録(EMR)を含む)のダンプ・情報送出
医療分野におけるセキュリティ侵害の多くは、初期アクセスブローカーが販売する「有効なパスワード」「フィッシング攻撃を介して不正に取得されたログイン認証情報」「リモートアクセスを可能にするアカウント情報」などを起点として、密かに実行されます。攻撃活動が顕在化した時点では、すでにデータが外部に送出されている場合も少なくありません。そのため、継続的な監視を通じて認証情報の窃取やデータ移動に関連する不審な挙動を検知し、情報漏洩が発生する前に対応できるセキュリティ体制の構築が求められます。
サプライチェーン攻撃とサードパーティリスク
脅威:電子健康記録(EHR)や電子医療記録(EMR)ソフトウェアのベンダ環境がセキュリティ侵害された場合、数百もの下流組織に同時に影響が及ぶ可能性があります。
電子カルテ提供事業者や医療関連ソフトウェアベンダなどの環境が侵害された場合、そのサービスを利用する多数の医療機関が同時に影響を受ける可能性があります。攻撃者は個々の医療機関を直接攻撃するよりも、単一のベンダ環境に侵入し、サプライチェーン全体に被害を拡大させる手口を採用する傾向にあります。そのため、医療機関は、自組織のセキュリティ体制はもとより、依存関係にあるベンダや関連事業者のセキュリティ事情についても継続的に把握する必要があります。
医療データの保護とコンプライアンス
脅威:情報漏洩によるHIPAA違反、医療データの窃取、保険詐欺
医療データが流出した場合、プライバシーの侵害だけでなく、法規制上の問題も引き起こされます。このため、医療データの保護は、セキュリティとコンプライアンスの両方において重要な課題となります。機密性の高い医療記録が組織外へ流出することを防ぐとともに、万が一、情報漏洩が発生した場合に、その影響範囲や原因を適切に追跡調査・説明できる体制を整備することが求められます。
TrendAI Vision One™の機能
医療データを巡る地下経済に対抗するためには、統合されたセキュリティ基盤の活用が推奨されます。AI駆動型統合セキュリティ基盤「TrendAI Vision One™」は、CREM(Cyber Risk Exposure Management)やセキュリティオペレーションを一元化し、オンプレミス、ハイブリッド、マルチクラウド環境にまたがる堅牢な多層防御を提供することで、企業組織が脅威を予測し、事前予防するためのプロアクティブセキュリティの実現を支援します。
医療・ヘルスケア機関にとっては、外部に露出した組織全体のIT資産を単一プラットフォーム上で可視化できるほか、エンドポイント、電子メール、ネットワーク、クラウドにおけるランサムウェア攻撃や情報送出の兆候を早期に相関分析し、侵入の疑いから封じ込めまでの時間を短縮することが可能となります。
TrendAI Vision One™は、アンダーグラウンド市場で確認された4つの脅威領域(ランサムウェアと二重脅迫、情報漏洩と認証情報の窃取、サプライチェーン攻撃とサードパーティリスク、医療データとコンプライアンス保護)に対し、以下のように機能します。
- ランサムウェアと二重脅迫:TrendAI Vision One™ Endpoint Securityは、ランサムウェアの実行処理、内部活動(情報探索)、情報送出などの不正活動をリアルタイムに検出します。さらに挙動監視により、実害発生前に不審な暗号化処理や大量のファイルアクセスを特定します。Workbench機能は、ランサムウェア攻撃に係る痕跡を感染環境全体で相関付け、攻撃の範囲や進行状況を可視化します。TrendAI Vision One™ Threat Intelligence Hubは、既知のランサムウェアグループとその戦術、技術、手順(Tactics、Techniques、Procedures、TTPs)を追跡し、亜種の早期検知を可能にします。
- 情報漏洩と認証情報の窃取:TrendAI Vision One™ Network Securityは、不審なデータ転送、遠隔操作用(C&C)サーバとの通信、不正アクセスのパターンを監視します。TrendAI Vision One™ Email and Collaboration Securityは、認証情報の詐取を目的としたフィッシングメールを受信前に検知・ブロックします。TrendAI Vision One™ Cloud Risk Managementは、クラウドホスト型EHR・EMRシステムにおける設定不備を特定して情報漏洩リスクを低減させます。Observed Attack Techniques(OAT)機能は、認証情報アクセス試行(T1110:総当たり(ブルートフォース)攻撃、T1187:強制認証)などの検知に役立ちます。
- サプライチェーン攻撃とサードパーティリスク:TrendAI Vision One™ Cyber Risk Exposure Management(CREM)Attack Surface Discoveryは、医療ネットワークに接続する医療関連ベンダの環境を相互に関連付けることで、セキュリティリスクを特定します。
- TrendAI Vision One™における脆弱性管理は、医療ソフトウェアの依存関係(EHRシステム、医用画像プラットフォーム)における共通脆弱性識別子(CVE:Common Vulnerabilities and Exposures)を追跡します。CREMのサイバーリスクインデックスは、外部ベンダリスクを重要度(Criticality)と脆弱性が悪用される可能性(Exploitability)に基づいて優先順位付けします。TrendAI Vision One™ Threat Intelligence Hubは、既知の医療ベンダ環境が侵害された場合にアラートを発行します。
- 医療データとコンプライアンス保護:TrendAI Vision One™ Data Securityは、機密性の高い医療データ(社会保障番号、患者の医療記録、保険情報)の外部送出を監視します。TrendAI Vision One™ Compliance Managementは、HIPAA、HITECH(経済的及び臨床的健全性のための医療情報技術に関する法律)、その他の医療規制要件への準拠状況を追跡します。TrendAI Vision One™ Forensicsは、侵害事例のタイムラインを再構築し、アクセスされたデータの特定を可能にします。TrendAI Vision One™ Services – Incident Responseは、セキュリティ侵害通知や規制報告に必要な証拠を提供します。
- セキュリティ体制の現状評価:医療・ヘルスケア機関は、CREM(Cyber Risk Exposure Management)のサイバーリスクインデックスを活用し、攻撃者が優先的に狙う可能性のある高リスクのIT資産、脆弱性、設定不備を特定する必要があります。
- 攻撃対象領域の可視化:医療ネットワークに接続されているすべての医療システム、関連する外部事業者、インターネットに公開されたIT資産を棚卸しし、組織全体の攻撃対象領域を包括的に可視化する必要があります。
- 進行中の脅威の検出:セキュリティチームは、TrendAI Vision One™のWorkbench機能を活用し、ランサムウェア攻撃の兆候、認証情報の窃取、データの外部送出などの兆候を監視する必要があります。特に、警告アラートとして検知されていない不審なシグナルにも注意を払う必要があります。
- ベンダリスクへの対応強化:企業組織は、業務上依存している電子健康記録(EHR)や電子医療記録(EMR)ソフトウェアのベンダやその他のサプライヤーを確認し、侵害の兆候がないか継続的に監視する必要があります。
まとめ
医療分野は、サイバー犯罪を支えるアンダーグラウンド市場において最も頻繁に標的とされるとともに、高い収益性を有する分野の一つとなっています。これらの市場は、流出した医療データの取引・悪用・武器化により形成される産業化された犯罪エコシステムによって支えられています。TrendAI Research™による12ヶ月間の調査では、このエコシステムが163件のフォーラム、21,813件のマーケットプレイス投稿(出品情報)、95の異なるランサムウェアリークサイトで構成されていることが確認されました。これらの環境では、窃取された医療データが体系的に収集・パッケージ化され、グローバル化・多言語対応した犯罪サプライチェーンを通じて流通しており、利益を目的とした組織的な犯罪活動の実態が明らかとなりました。
こうした脅威動向は、単独犯による侵害事例ではなく、初期アクセスブローカー、RaaS提供事業者、データ取引業者、詐欺手口の提供事業者がそれぞれの役割を担い、同一のデータを複数経路を介して収益化する、構造化された犯罪サプライチェーンへと高度化しています。地域ごとの専門分化もこの構造を支える重要な要素となっています。ロシア語話者のコミュニティは、フルズ(個人情報パッケージ)の流通やなりすまし行為を主な領域とし、トルコ語話者・ポルトガル語話者のコミュニティは保険詐欺やアクセス権の取引に注力しています。英語話者のコミュニティは、言語をまたぐ取引や情報交換の中心的な場として機能し、これらの活動を横断的につなぐ役割を果たしています。
データの暴露活動は一部の限られたグループに集中しており、RhysidaとInterlockの2グループだけで公開された医療データの68.5%を占めています(図6)。これは、少数のランサムウェアグループを無力化するだけでも、情報漏洩リスクを大幅に低減できる可能性を示しています。一方で、攻撃対象は、電子健康記録(EHR)や電子医療記録(EMR)ソフトウェアのベンダ、さらには医療技術プラットフォームへと拡大しています。この動向は、今後の攻撃が個々の医療機関を直接狙うだけでなく、サプライチェーン攻撃を通じて被害を拡大させる可能性を示しています。
医療現場特有の運用上の制約が、こうした攻撃の影響を一層深刻化させています。
医療分野におけるセキュリティ侵害は、単なるデータ損失にとどまらず、患者の安全性、医療サービスの継続性、組織に対する信頼にも直接的な影響を及ぼします。医療機関ではシステム停止が許容されないため、電子カルテ、医用画像システム、臨床業務システムなどに障害が発生した場合、診療や治療の遅延を招くだけでなく、高いリスクを伴う手作業による代替運用を余儀なくされます。その結果、ランサムウェア攻撃や脅迫行為に対して組織が受ける圧力が増大し、攻撃者に有利な状況を生み出す要因となります。
さらに、電子健康記録(EHR)や電子健康記録(EMR)のソフトウェアベンダを起点としたソフトウェアサプライチェーン攻撃が増加傾向にあります。これらのベンダが一度侵害されると、数百もの利用医療機関にわたって患者データを漏洩させ、システム全体のリスクを拡大させてしまいます。数百もの利用医療機関に影響が及び、大量の患者データが漏洩するなど、システム全体のリスクが拡大する恐れがあります。
医療データは、一度流出すると変更や無効化が困難であり、価値も容易には失われません。そのため、単一のデータ侵害であっても、長期間にわたり詐欺やその他の不正活動に悪用され続ける可能性があります。こうした地下経済に対抗するためには、インシデント対応を中心とした事後対処型のアプローチから犯罪エコシステム全体を見据えた事前予防型のアプローチへと転換する必要があります。具体的には、関連事業者や自組織のID管理体制の強化、窃取されたデータが流通するアンダーグラウンド市場の継続的な監視、医療データ漏洩後に取引・悪用されるライフサイクルを単なる事後的な結果としてではなく、重要なセキュリティリスクを体系的にとらえた対策の実施が求められます。
付録
本調査時に用いたキーワード
本調査期間中、アンダーグラウンドフォーラムやマーケットプレイス上の投稿を検索する際に、以下のキーワードが用いられました。
- 電子医療記録(EMR)の主要プラットフォーム
- Allscripts
- Athenahealth
- Cerner
- eClinicalWorks
- Epic Systems
- Meditech
- NextGen
- OpenEMR
- OpenMRS
- 一般医療・ヘルスケア機関
- クリニック
- 医療機関
- ヘルスケア機関
- 病院
- 医学
- 医療関連ベンダ
- Abbott
- Agfa
- Baxter
- BD/Becton Dickinson
- Boston Scientific
- Carestream
- Change Healthcare
- Draeger
- Fujifilm
- GE Healthcare
- Hillrom
- Hologic
- Masimo
- Medtronic
- Mindray
- Philips Healthcare
- Siemens Healthineers
- Smiths Medical
- Stryker
- Varian Medical
- Zoll
- 保険会社や支払機関
- Aetna
- Anthem
- Blue Cross
- Blue Shield
- Cigna
- Health insurance
- Humana
- Medicaid
- Medicare
- TRICARE
- UnitedHealth
- 医療データ
- 臨床データ
- 診断情報
- 健康記録
- 予防接種記録
- 検査結果
- 医療データ
- 治療歴
- 診療記録
- 病理検査報告書
- 患者データ
- 患者の医療記録
- 処方箋
- 放射線診断報告書
- 治療記録
- 医療データ取引
- DEA登録番号(米国麻薬取締局登録番号)
- ヘルスケアデータを含む個人情報パッケージ(フルズ)
- 保険証
- 医療データを含むフルズ
- 医療ID
- NPI登録番号(米国の医療提供者識別番号)
- 医療機器
- CTスキャン
- 除細動器
- 透析
- 内視鏡
- 輸液ポンプ
- インスリンポンプ
- MRI(磁気共鳴画像装置)
- ペースメーカー
- 患者(生体情報)モニター
- 超音波検査
- 人工呼吸器
- レントゲン装置
- 医療の診療分野・機能
- 救急車
- 麻酔科
- 循環器科
- 歯科
- 皮膚科
- 診断
- 緊急外来
- 神経内科
- 腫瘍科
- 眼科
- 視能矯正・検眼
- 整形外科
- 病理学
- 小児科
- 放射線科
- 外科
- 外科関連
- 医療関係者・役割
- 医者
- 看護師
- 患者
- 臨床医
- 製薬・ライフサイエンス
- 生物医学
- バイオテクノロジー
- 臨床
- 製薬
- 医薬品
- 治療
- セラピー
- 規制・医療データ分類
- HIPAA(Health Insurance Portability and Accountability Act)「医療保険の相互運用性と説明責任に関する法律」
- HITECH(Health Information Technology for Economic and Clinical Health Act)「医療情報技術の経済的・臨床的健全性」
- PHI(Protected Health Information)「保護対象保健情報」
- アンダーグラウンドフォーラム
- Ajanlar
- Altenen
- ASCarding
- BDF
- Best Blackhat Forum
- BHF
- BigBrobiz
- Bitcointalk.org
- BlackBones
- Black Hat World
- Blast
- BreachForums
- breachforums.hn
- BreachStars
- Cardmafia.ws
- Carder Market
- Carders.biz
- Center.bz
- Chang'An Nocturnal City
- Chitachok/Chitachok24
- Codeby.net
- CPAMafia.pro
- Cracked.to
- Cracking Italy
- CrackingX
- Crax Pro
- Crdclub.ws
- CrdPro
- Damagelib
- DarkForums
- DarkMarket.bz
- DarkMoney.cc
- DarkNetArmy
- DarkStash
- Dread forums
- Dublikat
- Duty-Free.cc
- Exploit.in
- Forum.bits.media
- ForumTeam
- Gerki
- Hackforums.net
- Hacktivizm
- HasanBroker's BreachForums
- HellOfHackers
- HighLeaks
- HTDark
- Illegalizm hacking community
- ImhaTimi
- InfoCheats
- IranHack
- Korovka
- LeakBase
- Leaked
- LeakForum
- LeakZone.net
- Lolzteam.net
- Mazafaka_2
- Migalki+ 2022
- Mipped
- Niflheim
- NoHide.space
- Nullptr
- NulledBB
- NZ Darknet Market Forums
- Olkpeace.org
- Omerta.cm
- Patched.to
- Pitch
- Probiv
- ProCrd.CC
- ProLogic.su
- RaidForums V2
- RAMP_v2
- RootSploit
- RuTor
- Rutor24
- SafeZone
- Sinister.ly
- Spear
- SpyHackerz.com
- Tenec
- TurkHackTeam
- Turkhacks
- UfoLabs
- UmbraForums
- ValidMarket
- Verified.mn
- Vermillion
- VeryLeaks
- Vlmi.su
- WeTheNorth
- WWH-Club.co
- XForums
- xReactor
- XSS.is
- Xssf
- YouGame
参考記事
The Cybercriminal Underground: Mapping the Healthcare Data Economy
By: Stephen Hilt, Numaan Huq, Mayra Rosario Fuentes
翻訳:益見 和宏(Platform Marketing, TrendAI Research™)