Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > ヘルスケア業界を狙うInsomniaデータ窃盗グループの台頭:境界型セキュリティだけではもはや不十分

ヘルスケア業界を狙うInsomniaデータ窃盗グループの台頭:境界型セキュリティだけではもはや不十分

by Patrick Spencer updated 2月 25, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

ファイアウォールは患者データを守れていません。エンドポイント検知は侵入者を見逃しています。従来の境界型セキュリティ戦略は、もはや存在しない脅威を前提に構築されています。

これが、米国の医療業界を標的とする新たなサイバー犯罪グループ「Insomnia(インソムニア)」によって明らかになった厳しい現実です。2025年10月に初めて登場して以来、このグループはデータリークサイトに18件の被害者を掲載しており、その半数以上が医療関連—病院、クリニック、医療過誤専門の法律事務所、外科用機器メーカー—に該当します。

Insomniaはシステムを暗号化して復号キーを要求することはありません。患者記録、運転免許証、税務書類、機密文書などのデータを盗み、無料でダウンロードできるように公開します。これは大規模なデータ流出であり、サイバー犯罪者が医療業界を標的とする手法が根本的に変化していることを示しています。

5つの重要ポイント

  1. 新たなサイバー犯罪グループが医療データを狙う。「Insomnia」と呼ばれるデータ窃盗グループがダークウェブ上に登場し、18件の被害を主張しています。その半数以上が医療機関、医療過誤専門の法律事務所、外科用機器メーカーなど医療分野と直接関係しています。セキュリティ企業Kelaによると、これらの被害者はいずれも過去のランサムウェアリークサイトには掲載されておらず、Insomniaが本当に新しいグループであることを示唆しています。
  2. 攻撃者は暗号化せず、データを盗む。Insomniaはランサムウェアを使いません。患者ファイル、税務書類、運転免許証などの機密記録を盗み、公開を脅迫します。Rapid7はこのグループを「目立たずデータ窃取に最適化されており、騒がしいランサムウェア攻撃とは異なる」と評しています。バックアップや災害復旧計画はこの手法には無力です。一度データがネットワーク外に持ち出されれば、被害は避けられません。
  3. 盗まれた認証情報が侵入口。Insomniaはインフォスティーラーマルウェアや認証バイパス脆弱性を利用して盗まれたログイン情報から侵入します。その後、Windows Serverのアップデートなど正規ツールを使って横移動します。エンドポイント保護やファイアウォールは、正規のユーザー名とパスワードで侵入する攻撃者を阻止する設計にはなっていません。
  4. 中小規模の医療機関が主な標的。Insomniaの医療関連被害者の多くは、年間売上高が500万ドルから5,700万ドル、従業員数が11人から200人の組織です。これらは専任のセキュリティオペレーションセンターやエンタープライズ向け脅威検知、常勤のコンプライアンス担当者を持たない組織であり、セキュリティ成熟度の低さが共通点です。
  5. ランサムウェアの支払い減少—攻撃者は戦術を転換。Sophosの調査によると、2025年にランサムウェア被害を受けた医療機関のうち身代金を支払ったのは36%で、2022年の61%から大幅に減少しています。平均支払額も147万ドルから15万ドルに減少。攻撃者はこれに対応し、純粋なデータ流出型へとシフトしています。復号のために支払わないなら、次は盗んだ患者記録の公開を脅迫材料にするのです。

なぜ医療業界が標的になり続けるのか

医療業界は、サイバー犯罪者にとって長年にわたり最も好まれる標的でした。この分野は高額なブラックマーケット価値を持つ膨大な量の保護対象保健情報(PHI)を保有し、歴史的に多くの医療機関が患者の安全を優先して身代金の支払いに応じてきました。

しかし、その状況は変化しつつあります。Sophosの調査によれば、2025年にランサムウェア被害を受けた医療機関で身代金を支払ったのは36%にとどまり、2022年の61%から大きく減少。平均支払額も147万ドルから15万ドルへと激減しています。医療業界はサイバー犯罪者にとって難しい環境になりつつあります。

攻撃者も適応しています。Insomniaの手法はこの転換を反映しており、ランサムウェアで業務を妨害するのではなく、機密データを盗み公開を脅迫します。バックアップから患者のプライバシーを復元することはできません。一度PHIがリークサイトに掲載されれば、その影響は取り返しがつきません。

自社のセキュリティを信じていませんか。本当に証明できますか?

Read Now

Insomniaの侵入手口—従来型セキュリティが見逃す理由

Insomniaが従来のランサムウェアグループと異なるのは、その運用手法です。Rapid7の脅威インテリジェンス&アナリティクス担当シニアディレクター、クリスチャン・ビーク氏によれば、Insomniaはスピードと不可視性を重視して設計されています。

このグループは、インフォスティーラーマルウェアで収集された認証情報を闇市場から入手し、認証バイパス脆弱性を悪用してログイン保護をすり抜けます。内部に侵入すると、Windows Serverのアップデートなど正規ツールを使って横移動し、通常の管理業務に紛れ込みます。Rapid7はこのモデルを「スピード、目立たなさ、機密データの公開による恐喝効果の最大化」に特化していると説明しています。

また、Insomniaが盗んだデータをマネタイズするブローカーやプラットフォームとして機能し、初期アクセスを提供する他の犯罪者と連携している可能性も指摘されています。

ファイアウォールや侵入検知システム、エンドポイント保護プラットフォームなどの境界防御は、本来マルウェアの侵入や不審なトラフィックを検知・阻止するために設計されています。しかしInsomniaはマルウェアを配布していません。正規の認証情報でログインし、正規ツールを使っています。検知すべき悪意あるペイロードが存在しないのです。

中小規模医療機関:最大のリスク、最小の防御

Insomniaの被害者プロファイルは、意図的な標的選定戦略を示しています。医療関連の被害者の多くは、年間売上高が500万ドルから5,700万ドル、従業員数が11人から200人の組織です。これらは皮膚科クリニック、地域医療機関、専門外科センター、請求会社、医療過誤を扱う法律事務所などです。

これらの組織は、脅威への曝露と防御能力の間に危険なギャップを抱えています。大手病院システムと同じカテゴリーの機密患者データを保有しながら、それを守るリソースがありません。従業員50人の整形外科クリニックにセキュリティオペレーションセンターはありません。2,000万ドル規模の医療過誤専門法律事務所がエンタープライズレベルの脅威検知を運用しているわけでもありません。

これらの組織が頼るのは、基本的なエンドポイント保護、標準的なファイアウォール、一般消費者向けファイル共有、暗号化されていないメールなどであり、いずれも認証情報を悪用したデータ窃取を防ぐために設計されていません。

セキュリティ企業Kelaは、2026年にサイバー犯罪グループの標的となった医療機関68件を追跡しており、そのうち50件が米国に拠点を置いています。この標的化パターンは、機会とセキュリティ成熟度の低さを突く金銭目的の攻撃であることを示しています。

なぜ境界型モデルでは解決できないのか

認証情報は境界をすり抜ける。攻撃者が正規の認証情報で認可されたアクセスポイントからログインすれば、境界側は正当な接続とみなします。ブロックするものがありません。

検知には「検知対象」が必要。InsomniaはWindows Serverのアップデートや正規の管理ツールを使ってネットワーク内を移動します。これらの動作は通常のIT運用と同じであり、セキュリティツールが検知すべき異常なシグナルがありません。

消費者向けファイル共有にはガバナンスがない。DropboxやGoogle Drive、暗号化されていないメールでPHIを送信する医療機関は、誰がいつどこからデータにアクセスしたかを把握できません。共有リンク以外にアクセス制御はなく、HIPAA違反通知のための監査証跡もありません。

バックアップはデータ窃取に無力。堅牢なバックアップや災害復旧—従来のランサムウェア対策—は、流出型の脅威には意味がありません。暗号化されたシステムは復元できますが、盗まれた患者記録の公開は元に戻せません。

境界型セキュリティからデータ中心型保護へ

認証情報を悪用したデータ窃取を防ぐには、根本的に異なるアプローチが必要です。ネットワークの境界を守るのではなく、データそのものへのアクセスを制御し、本人確認、権限制御、暗号化、すべての操作の記録を徹底しなければなりません。

すべてのファイルへの認証済みアクセス。保護対象保健情報の閲覧、ダウンロード、共有のすべてのリクエストに、多要素認証による本人確認を必須とします。盗まれたパスワードだけではアクセスできません。コンテキスト制御により、想定外の場所や認識されていないデバイス、異常な時間帯からのアクセスをブロックします。

データガバナンスの一元化。機密データを強化された監視付きリポジトリに集中管理し、ファイル共有やメールボックス、個人クラウドアカウントに分散させないことで、攻撃者に複数の流出経路を与える「スプロール」を排除します。

暗号化通信。TLS 1.3およびFIPS 140-3認証の暗号化で送信される保護対象保健情報は、転送中に傍受されません。メール、ファイル共有、サードパーティとのデータ交換をセキュアなチャネルで行うことで、PHIがSMTP経由で傍受されるリスクを排除します。

包括的な監査証跡。すべてのアクセス、ダウンロード、共有、送信を「誰が、何を、いつ、どこで、どのように」記録します。リアルタイムアラートで大量ダウンロードなどの不審なパターンを検知。SIEM連携により他の脅威指標と相関分析が可能。フォレンジック調査で攻撃のタイムラインや被害範囲を特定できます。

セキュアなサードパーティ連携。医療業界の広範なエコシステム—保険会社、検査機関、専門医、請求会社—は、データの受け渡しごとに流出リスクを生みます。外部ユーザー向けに認証・暗号化されたチャネルと期間限定の権限を設定することで、パートナー経由の侵害が自社の漏洩につながるリスクを排除します。ここでサードパーティリスク管理は、単なるコンプライアンス項目から業務上の必須事項へと進化します。

Kiteworks:医療業界のためのデータ中心型セキュリティ

これこそが、Kiteworksプライベートデータネットワークが解決を目指す課題です。

Kiteworksはネットワーク境界でのデータ窃取阻止を目指すのではなく、データそのものへのアクセスを制御します。保護対象保健情報へのすべての操作が、本人確認、暗号化、アクセス制御、監査ログを一貫して適用する単一プラットフォームを通じて行われます。

従来のエンドポイント保護では、正規認証情報を使う攻撃者を阻止できません。ファイアウォールは通常業務と同じ動作を検知できません。消費者向けファイル共有にはHIPAA準拠のアクセス制御や監査証跡がありません。KiteworksはすべてのPHIのやり取りをガバナンスの効いた環境に集約し、盗まれた認証情報だけではデータにアクセスできず、すべての操作が記録され、流出の試みには自動対応が発動します。

CISOにとっては、認証情報を悪用した窃取を防ぐゼロトラスト・データ保護アーキテクチャです。コンプライアンス担当者にとっては、HIPAAセキュリティ規則の遵守を証明し、違反通知をサポートする監査証跡です。Insomniaの標的となる規模の組織のCFOにとっては、エンタープライズ予算なしで実現できるエンタープライズ級の保護です—医療データ侵害の平均コストが1,093万ドルである今、予防投資は十分に元が取れます。

猶予は残りわずか

Insomniaは単発の事件ではありません。明確なトレンドの最新事例です。ランサムウェアの支払いが減少する中、サイバー犯罪グループはデータ窃取へと戦術を転換しています。盗まれた医療記録は永続的な脅迫材料となるからです。QilinやSinobiのような新たなグループも、セキュリティ成熟度の低い医療機関を引き続き標的としています。2026年にはすでに68件の医療機関が標的となっており、まだ2月です。

今、データ中心型セキュリティを導入する医療機関は、Insomniaや類似グループが突く「流出ギャップ」を封じることができます。患者のプライバシーを守り、HIPAAコンプライアンス要件を満たし、医療データ侵害の平均コスト1,093万ドルを回避できます。境界防御に頼り続ける組織は、Insomniaの18件の被害者と同じように、そのギャップを痛感することになるでしょう。

もはやネットワーク境界を守るだけでは患者データは保護できません。次の認証情報型攻撃が、従来ツールでは塞げないギャップを突く前に、データの根本的な保護に踏み出せるかが問われています。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

Insomniaは2025年10月にダークウェブ上に初登場したサイバー犯罪グループで、18件の被害を主張しており、その半数以上が医療関連です。従来のランサムウェアグループとは異なり、Insomniaはシステムの暗号化ではなく機密データの窃取に特化しています。医療業界は高額な保護対象保健情報(PHI)を保有し、中小規模の医療機関はセキュリティ成熟度が低いことが多いため、標的となっています。

従来のランサムウェアはファイルを暗号化し、復号キーと引き換えに身代金を要求します。Insomniaは暗号化を一切行わず、機密記録を盗み公開を脅迫します。これは、バックアップや災害復旧といった従来のランサムウェア対策がデータ流出型には無意味であることを意味します。患者記録が盗まれ公開されてしまえば、被害は元に戻せません。唯一有効な対策は、PHIが最初から環境外に出ないようにすることです。

境界型セキュリティツールは、悪意あるソフトウェアや異常なネットワークトラフィックの検知・遮断を目的としています。Insomniaは盗まれた認証情報で正規アクセスポイントからログインし、Windows Serverのアップデートなど正規ツールで横移動します。これらの活動は通常業務と同じため、検知すべき悪意あるペイロードや異常シグナルがありません。ゼロトラスト・データ保護—本人確認とデータレベルでのアクセス制御—こそが適切な対抗策です。

データ中心型セキュリティは、ネットワーク境界ではなくデータ自体を保護の対象とします。多要素認証、きめ細かな権限設定、暗号化、包括的な監査ログにより機密ファイルへのアクセスを制御します。攻撃者が認証情報を盗んでも、MFAで不正アクセスを防止。権限設定で1つのアカウントがアクセスできる範囲を限定し、監査証跡で異常なアクセスパターンを検知し、フォレンジック調査も可能です。

中小規模の医療機関は、次の3つの対策を優先すべきです。すべてのPHI関連システムで多要素認証を徹底、アクセス制御と監査証跡を備えた単一のガバナンスプラットフォームにデータ交換を集約、患者データの消費者向けファイル共有や暗号化されていないメール利用を排除。エンタープライズ級の保護が中小規模向け価格帯で利用可能になっており、医療データ侵害の平均コスト1,093万ドルに比べれば投資効果は絶大です。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者をよりスマートな選択へと導く課題
  • ブログ記事 DSPMで機密データが検出された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を構築する方法
  • 動画 ITリーダーのための機密データ安全保管ガイド決定版

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks