Trend Micro調査が暴く医療データの地下経済──ランサムウェア起因の販売がマーケットプレイス取引の36.3%に

トレンドマイクロのTrendAI Research™は2026年6月18日、流出した医療データが取引される犯罪エコシステムに関する調査結果を公表した。調査期間は2025年2月から2026年2月までの12か月で、アンダーグラウンドフォーラムの投稿7,779件とマーケットプレイスの出品情報21,813件、95のランサムウェアリークサイトを分析した。

ランサムウェア起因のデータ販売はマーケットプレイス取引の36.3%を占めた。リークサイト上の医療データ暴露ではRhysidaが40.4%、Interlockが28.1%を占め、上位2グループで68.5%に達した。医療データの取引価格は65米ドルから、電子健康記録（15GB）では50万米ドルに及んだ。言語別では英語が63.3%、トルコ語13.9%、ポルトガル語11.2%、ロシア語3%だった。Cytek Biosciencesは2025年12月22日付で侵害通知を出し、Rhysidaが関与を主張した。

From: アンダーグラウンドで取引される医療データエコノミー

【編集部解説】

本稿は、トレンドマイクロのリサーチ部門TrendAI Research™が公開した、医療データの地下経済に関する12か月間の追跡調査をもとにしています。英語版は2026年6月4日に研究者ブログとして、各国向けプレスリリースは6月9日に、日本語版は6月18日に公開されました。innovaTopiaがこの記事をいま取り上げるのは、「医療のデジタル化」が世界中で加速するなかで、その裏側にどんな経済が育っているのかを、データで可視化した数少ない一次調査だからです。

まず押さえておきたいのは、この記事の核心が「個別の事件」ではなく「市場構造」にある点です。攻撃者がバラバラに病院を襲っているのではなく、侵入を売る人、暗号化して脅す人、データを転売する人、偽造文書を作る人が役割分担する分業経済が成立しています。ソフトウェア開発でいうマイクロサービス化が、犯罪側でも進んでいるとイメージすると分かりやすいでしょう。

技術的に重要なキーワードが「二重脅迫（ダブルエクストーション）」です。従来のランサムウェアは「データを暗号化して使えなくする」だけでした。これに「盗んだデータを公開・転売するぞ」という第二の脅しを重ねる手法で、バックアップから復旧できる組織でも、情報漏洩は防げないため支払いを迫られます。報告書ではこの手口に起因する販売が、マーケットプレイス取引の36.3%を占めていました。

なぜ医療データが狙われるのか。理由はシンプルで、「リセットできない」からです。クレジットカードは止めて再発行すれば無効化できますが、病名、治療歴、生体情報は本人と一体で、書き換えがききません。だからこそ流出後も長く価値が保たれ、報告書では下位層の65米ドルから、電子健康記録（15GB）の50万米ドルまで、幅広い価格帯で取引されていました。

影響範囲という観点では、「サプライチェーン攻撃」が最大の論点です。個々の病院ではなく、電子カルテ（EHR/EMR）を提供するベンダを一つ陥落させれば、その下流の数十〜数百の医療機関に一気に波及します。攻撃者から見れば「費用対効果」が桁違いに高い。これは医療に限らず、特定ベンダに依存が集中する現代のIT構造そのものが抱えるリスクでもあります。

裏取りの過程で、日本語版の記述に注意すべき点が見つかりました。記事中のCytek Biosciences社の事例について、日本語版は「2025年12月22日にデータ侵害を公表」としていますが、一次情報や複数の英語報道を突き合わせると、実際の不正アクセスは2025年11月1日ごろ発生、12月22日はメイン州・マサチューセッツ州の司法長官への報告および被害者への通知開始日にあたります。Rhysidaがリークサイトで関与を主張したのは2026年1月25日です。つまり「12月22日＝侵害公表」という表現はやや不正確で、正しくは「通知・届出の開始日」と理解するのが妥当です。

同社についても補足しておきます。Cytekはカリフォルニア州フリーモントに本社を置くフローサイトメトリー（細胞解析装置）メーカーで、いわゆる病院ではなく医療機器・バイオテクノロジー企業です。Comparitechの報道によれば、今回の通知対象は331人で、Rhysidaにとっては初めて確認された医療系メーカーへの攻撃とされています。Comparitechによれば、同グループの平均身代金要求額は845,000米ドルとされ、医療分野が「直接ケアを行う病院」だけでなく、その周辺の製造・研究企業にまで広がっている実態がうかがえます。

地政学的な偏りも見逃せません。報告書は攻撃対象が主に米国に集中していると指摘していますが、英語版プレスリリースでは、オーストラリアで国の通知制度上「過去最大」とされるMediSecureの侵害（処方記録などが国民のほぼ半数に及んだ）が引き合いに出されています。日本語版本文には登場しない事例で、これは日本を含む各国が「対岸の火事ではない」ことを示す重要な補助線です。

規制への影響という点では、この調査は医療機関への監督強化を後押しする材料になります。米国ではHIPAA違反に数百万ドル規模の制裁金が科された例があり、EUではGDPRが適用されます。日本でも改正個人情報保護法のもとで「要配慮個人情報」に医療情報が含まれ、漏洩時の報告義務が課されています。攻撃の産業化が進むほど、規制側も「事故後の処罰」から「事前の体制義務化」へと重心を移していくと考えられます。

長期的な視点では、ポジティブな含意もあります。報告書は、暴露活動の68.5%がRhysidaとInterlockのわずか2グループに集中していると指摘しました。裏を返せば、少数の主要グループを摘発・無力化できれば被害を大きく削減できるということです。実際、フォーラムCracked.toは2025年1月の国際捜査「Operation Talent」で解体されましたが、すぐにCracked.sh、Cracked.axへと姿を変えて復活しており、「叩いても再生する」しぶとさも同時に示されています。法執行と犯罪エコシステムの追いかけっこは、当面続くとみてよいでしょう。

最後に、この記事を読む私たちが取るべき構えについて。医療データの地下経済は、患者一人ひとりにとっては「自分の病歴が、知らないうちに値札を付けられて流通する」という極めて個人的な問題です。一方で、医療のデジタル化やAI診断の普及は止められませんし、止めるべきでもありません。だからこそ、便益とリスクを同じテーブルで語り、データの「漏洩後の一生」まで設計に織り込むことが、これからのヘルステックに求められる成熟だと、編集部は考えます。

【用語解説】

ランサムウェア
データを暗号化して使えなくし、復旧と引き換えに身代金を要求する不正プログラムのこと。近年は暗号化に加えてデータ窃取・暴露を組み合わせる手口が主流である。

二重脅迫（ダブルエクストーション）
攻撃者が機密データを盗み出してから暗号化し、身代金を払わなければ復号鍵を渡さないうえに、盗んだデータの暴露・転売も行うと脅す手口。バックアップで復旧できる組織にも圧力をかけられる点が特徴である。

初期アクセスブローカー（IAB）
侵害した組織への侵入経路（VPNやRDPのアクセス権など）を専門に売買する攻撃者。自ら攻撃を完遂せず、アクセス権をランサムウェアグループなどに転売することで分業を成立させている。

RaaS（Ransomware as a Service）
ランサムウェアを「サービス」として提供する仕組み。開発者がツールを用意し、実行犯（アフィリエイト）が攻撃を担い、利益を分配する。技術力の低い攻撃者でも参入できるため攻撃の総量が増える。

フルズ／メディカルフルズ（fullz）
氏名、生年月日、社会保障番号、保険情報などを一式まとめた個人情報パッケージ。なりすましに必要な情報が揃っており、医療情報を含むものは「メディカルフルズ」と呼ばれ高値で取引される。

EHR／EMR（電子健康記録／電子医療記録）
患者の診療情報を電子的に記録・管理するシステム。日本の「電子カルテ」に相当する。提供ベンダが侵害されると、利用する多数の医療機関に被害が連鎖する。

サプライチェーン攻撃
標的を直接狙わず、その取引先やソフトウェアベンダなど弱い接点を突いて間接的に侵入する手法。一つのベンダ侵害で下流の数百組織に波及しうる。

DICOM／PACS
DICOMは医用画像（X線、MRI、CTなど）の保存・通信の標準規格。PACSはそれらの画像を保存・閲覧するシステム。外部に露出していると医用画像が窃取される恐れがある。

フローサイトメトリー
細胞を一つずつ高速で解析する技術。元記事が「バイオテクノロジー関連企業」と紹介するCytek Biosciencesは、この装置を手がけるメーカーで、今回のデータ侵害の対象となった。

HIPAA／GDPR
HIPAAは米国の医療情報保護法、GDPRはEUの一般データ保護規則。いずれも医療・個人データの漏洩時に重い制裁金を科しうる法規制である。

Operation Talent
2025年1月に各国法執行機関が実施した、サイバー犯罪フォーラムを対象とする共同捜査。フォーラム「Cracked.to」もこの捜査で解体された。

【参考リンク】

トレンドマイクロセキュリティブログ（日本語版）（外部）
サイバー脅威の調査結果や脆弱性情報を継続的に公開している日本語のセキュリティブログ。本記事の発信元である。

TrendAI Vision One™（外部）
記事内で対策基盤として紹介されているAI駆動型の統合セキュリティプラットフォームの公式紹介ページである。

The Cybercriminal Underground: Mapping the Healthcare Data Economy（外部）
スティーブン・ヒルトら3名による英語版の調査レポート本体。日本語版の元となった一次資料である。

Cytek Biosciences（外部）
今回のデータ侵害の対象となったカリフォルニア州フリーモントの細胞解析装置メーカーの公式サイトである。

【参考記事】

Healthcare data has become one of cybercrime’s most valuable commodities（外部）
2026年6月9日付の公式発表。投稿7,779件・出品21,813件・95リークサイトを分析し、ランサムウェア起因の取引が36.3%を占めたと明記する。

Healthcare Data Fuels Cybercrime Economy（外部）
同調査の数値を再掲しつつ、オーストラリアのMediSecure侵害が同国の通知制度上で過去最大であったと報じている。

Cybercriminals say they sold data stolen from US medical manufacturer（外部）
Cytek事例の詳細。不正アクセスは2025年11月1日ごろ、通知対象331人、Rhysidaの平均身代金要求額は845,000米ドルと報じる。

Healthcare data fuels underground cybercrime economy（外部）
2026年6月9日付。同調査の数値を確認し、アクセス・窃取・脅迫・転売を別主体が担う分業型市場への移行を整理している。

Cytek Biosciences Data Breach Investigation（外部）
Cytekがメイン州司法長官へ届け出た侵害通知の内容を解説。11月1日ごろ発生、12月22日に通知開始と記載する。