2026年 “NetRunnerPR” と自称するサイバー犯罪グループによって日本医科大学武蔵小杉病院(2月)や白梅豊岡病院(3月)が相次いでサイバー攻撃を受けました。
この犯罪グループに関する現在までに公開されている情報を調べてみました。
NetRunnerPRの概要
NetRunnerPR とは2026年2月3月に日本医科大学武蔵小杉病院や白梅豊岡病院など日本の医療機関を狙ったとされるサイバー攻撃(ランサムウェア攻撃)犯人グループ名です。
ランサムウェア/データ窃取型攻撃を行うと主張するハッカー集団であり、SNS・リークサイトなどで 侵入を「宣伝(PR)」するタイプの攻撃者とされています。
近年のランサムウェアグループでは、侵入後に
- データを盗む
- それをリークサイトで公開予告
- メディアやSNSで「攻撃成功」を宣伝
という “PR型脅迫” が一般的になっています
わずか1ヶ月で相次ぐ被害:日本医大武蔵小杉病院と白梅豊岡病院
「NetRunnerPR」の存在が日本で広く知れ渡るきっかけとなったのは、2026年2月9日に発生した日本医科大学武蔵小杉病院への攻撃です。
この攻撃では、病棟のナースコールシステムが突如としてダウン。調査の結果、システムサーバーがランサムウェアに感染していることが判明しました。当初、被害は約1万人規模とされていましたが、その後の精査で約13万人分もの患者個人情報(氏名、住所、電話番号、生年月日など)が窃取・流出した可能性があることが明らかになりました。
さらにその翌月の3月1日、静岡県の白梅豊岡病院でも同様の被害が発生。電子カルテを含む院内システムが閲覧不能となり、NetRunnerPR側はダークウェブ上で「フルデータを公開した」と声明を出しています。
NetRunnerPRの正体と今後の予測
「NetRunnerPR」という名称の由来は不明ですが、ハッカー文化における「NetRunner」と、活動拠点や意図を示唆する「PR」を組み合わせたものと推測されています。
彼らの声明は非常に威圧的で、警察や外部専門家の介入を嘲笑うかのような態度を見せることもあります。
正体はもちろんのこと、構成メンバーの人数や拠点、どの言語圏のアクターなのかといった基本的な情報すら明らかになっていません。
現在分かっているのは、地下フォーラム上に現れた比較的新しいアカウントであること、そして医療分野のデータ窃取・恐喝に強い関心を示しているらしい、という点に限られています。
「NetRunner」という名称の由来は2つあります。
①Debianベース、KDE Plasmaデスクトップ採用のlinux ディストリビューション
②巨大企業「Corp」とハッカー「Runner」に分かれて対戦するトレーディングカードゲーム
なぜ日本の病院が狙われるのか?
セキュリティ専門家の間では、彼らが日本の医療機関を「脆弱で、かつ支払能力のあるターゲット」としてスキャンし続けているという見方が強まっています。
今後も地方の基幹病院や、管理が手薄になりがちな医療法人グループが標的になる可能性は極めて高いでしょう。
日本の医療機関をターゲットにする理由は、共通の「隙」があるからと思われます。
- 保守用VPN装置の脆弱性: 多くの事例で侵入経路となったのは、外部の業者が医療機器をメンテナンスするために設置していたVPN(仮想専用線)装置でした。本体のセキュリティは強固でも、こうした「裏口」の管理が不十分な箇所が狙われています。
- システムの連動性: 武蔵小杉病院の例では、ナースコールシステムという一見限定的な領域から侵入されましたが、利便性のために患者基本情報が自動的に同期・蓄積される仕様だったため、結果として13万人分という広範な情報が抜き取られてしまいました。
侵入経路:医療機器保守用VPN
今回のインシデントにおいて最も注目すべきは、侵入経路が**「医療機器保守用のVPN装置」**であったことです。
- サプライチェーンの弱点: 多くの病院では、メーカーが遠隔で機器をメンテナンスするために専用のVPNを設置しています。これらは病院本体のIT資産管理から漏れている「シャドーIT」化しやすく、OSのアップデートやパッチ適用が滞りがちです。
- 脆弱性の悪用: NetRunnerPRは、これらVPN装置の既知の脆弱性を突き、認証をバイパスして院内ネットワークへ足がかり(初期潜入)を築いたと分析されています。
「ナースコール」から「個人情報」へ:巧みな内部構造の利用
武蔵小杉病院の事例で特筆すべきは、ナースコールサーバーが最初の標的となった点です。
ナースコールとは、患者ベッドサイドのボタンを押せば、病棟看護師詰所のコールを鳴動させる(あるいは看護師所持のPHSも連動して鳴動させる)という、ある意味単純な装置です。
一見、ナースコールは独立した設備に思えますが、運用の利便性から「患者基本情報」と連動しているケースも多く、NetRunnerPRはこの連動性を逆手に取りました。
- ナースコールサーバーを乗っ取り、暗号化
- そこに蓄積されていた13万人分のDB(データベース)を窃取
- さらに院内のActive Directory(認証基盤)へ接近を試みる
このように、重要度は高いがセキュリティが手薄になりがちな「周辺システム」を突破口にする戦略をとっています。
異常な身代金要求とリークサイトの運用
彼らが「150億円(1億ドル)」という法外な金額を要求できた背景には、データの重要性に対する絶対的な自信があります。
- 二重脅迫の自動化: 彼らは独自のリークサイトを運営しており、交渉期限が過ぎると自動的に「被害者の名称」と「データの一部(サンプル)」が公開される仕組みを構築しています。
- 証拠の提示: 白梅豊岡病院の件では、実際にシステムのディレクトリ構造や患者の病名を含むセンシティブなデータがサイト上に掲示されており、これが「空喝ではない」ことを示す強力な武器となっています。
このグループの特徴は、データの暗号化だけでなく、盗み出した情報を人質にする**「二重脅迫」**を徹底している点にあります。
驚愕の1億ドル要求
日本医大武蔵小杉病院のケースでは、攻撃者は復旧と引き換えに、当時のレートで**約150億円(1億ドル)**という天文学的な身代金を要求したと報じられています。
これまでの国内事例と比べても桁外れの金額であり、彼らが金銭的利益だけでなく、社会的なインパクトを狙っていることが伺えます。
執拗なリークサイトでの暴露
NetRunnerPRは独自の「リークサイト(暴露サイト)」を運営しており、交渉に応じない組織のデータを段階的に公開することで心理的なプレッシャーを与えます。
白梅豊岡病院の事案では、IP管理表やOracleデータベースから抽出された個人情報、さらには症例に関わる情報までがサンプルとして公開されています。
防御側の教訓
NetRunnerPRの動向は、今後の医療機関におけるセキュリティのあり方に警鐘を鳴らしています。
- VPN装置の総点検: 外部ベンダーが持ち込んだ装置を含め、すべてのゲートウェイ機器を資産管理下に置き、パッチ適用を徹底すること。
- ネットワークのマイクロセグメンテーション: ナースコールや医療機器などのOT系ネットワークと、電子カルテなどのIT系ネットワークを論理的に分離し、万が一の際の「横移動」を阻止すること。
- オフラインバックアップ: ネットワークから切り離した「不変バックアップ」の確保が、最後にして唯一の対抗策となります。
まとめ
最近(2026年初頭)、日本で2つの病院がサイバー犯罪グループ “NetRunnerPR” に相次いで被害を受けました。
このグループは新興勢力であり、未だ詳細は不明です。
| 病院名 | 発生時期 | 被害状況 | 侵入経路(推定) |
| 日本医科大学武蔵小杉病院 | 2026年2月9日 | ナースコールシステムがダウン。患者約1万人の個人情報が流出。 | 医療機器保守用のVPN装置 |
| 白梅豊岡病院 | 2026年3月1日 | 電子カルテを含む院内システムが感染。システムが閲覧不能に。 | 調査中(ランサムウェア感染) |
被害件数は以上の2件ですが、今後このグループが日本の医療機関を専門に狙い続けるのであれば厄介です。
コメント