2026年2月7日 / 最終更新日時 : 2026年2月6日 NAOKI OZAWA トラブル・リスク管理

ホームページ乗っ取り・改ざん被害を防ぐ!セキュリティ対策の基本

目次
1. 歯科医院HPが狙われる理由と被害の実態
2. 実際に起きた乗っ取り・改ざん事例
3. 今すぐチェックすべき5つのセキュリティ項目
4. WordPress等CMSのセキュリティ対策
5. バックアップ・復旧体制の構築方法
6. 被害に遭ってしまった場合の対処手順
7. まとめ

 

1.歯科医院HPが狙われる理由と被害の実態

「うちは小さな医院だから狙われない」は誤解です。むしろ、セキュリティ対策が甘い中小医院が狙われやすいのが現実です。

 

狙われる3つの理由

理由1: 個人情報が豊富

歯科医院のHPには、予約フォーム経由で患者の個人情報(氏名、電話番号、メールアドレス等)が蓄積されています。これらは闇市場で売買されます。

理由2: セキュリティ対策が甘い

大企業と違い、中小の歯科医院はセキュリティ専門家を雇う余裕がありません。古いWordPressバージョン、簡単なパスワードなど、脆弱性が放置されています。

理由3: 踏み台にされる

医院のHPを乗っ取り、そこから他のサイトへ攻撃する「踏み台」として利用されます。医院側は被害者であると同時に、加害者にもなってしまいます。

被害の実態データ

独立行政法人情報処理推進機構(IPA)の調査(2025年)によれば、中小企業・医療機関のサイバー攻撃被害は以下の通りです。

  • サイト改ざん被害: 年間約15,000件
  • 情報漏洩被害: 年間約8,000件
  • ランサムウェア被害: 年間約3,000件

歯科医院も例外ではなく、被害は増加傾向です。

被害に遭った場合の損失

直接損失:

  • HP復旧費用: 10〜50万円
  • 情報漏洩の賠償金: 患者1人あたり数千円〜数万円
  • 法律相談費用: 10〜30万円

間接損失:

  • 信用失墜による患者離れ
  • 新患獲得の停止(HP停止期間中)
  • メディアに報道されるリスク

総額で数百万円〜数千万円の損失になることもあります。

2.実際に起きた乗っ取り・改ざん事例

実際に起きた被害事例から学びます。

事例1: WordPressの脆弱性を突かれた改ざん

ZZ歯科医院(仮名、地方都市)

2024年8月、患者から「HPが変です」と連絡がありました。確認すると、トップページが全て英語のギャンブルサイトに書き換えられていました。

原因:

  • WordPressのバージョンが古かった(3年前のまま放置)
  • プラグインも古いバージョン
  • 管理画面のログインパスワードが「123456」と簡単

被害:

  • HP復旧費用: 35万円
  • 復旧までの期間: 2週間(その間、新患獲得ゼロ)
  • Googleから「ハッキングされたサイト」と警告表示され、検索順位が圏外に

対策後:

  • WordPress自動更新設定
  • パスワード強化(16桁、英数字記号混在)
  • セキュリティプラグイン導入

事例2: 予約フォームから情報漏洩

AA歯科医院(仮名、都市部)

2024年5月、患者から「知らないメールが大量に届く」という連絡が複数ありました。調査の結果、予約フォーム経由で入力された患者情報(氏名、電話番号、メールアドレス)が外部に流出していたことが判明しました。

原因:

  • 予約フォームのセキュリティ設定が甘かった
  • SSL化されているが、フォームのデータ送信処理に脆弱性

被害:

  • 情報漏洩した患者: 約250人
  • 1人あたり5,000円の見舞金 × 250人 = 125万円
  • 弁護士費用: 30万円
  • 信用失墜

対策後:

  • 予約フォームをセキュリティの高いシステムに変更
  • 個人情報の定期削除(予約完了後3ヶ月で自動削除)

事例3: ランサムウェア攻撃

BB歯科医院(仮名、地方都市)

2024年11月、朝出勤すると、HPに「あなたのデータを暗号化した。復号化したければ100万円を仮想通貨で支払え」という英語のメッセージが表示されていました。

原因:

  • 古いサーバー、古いPHPバージョン
  • バックアップを取っていなかった

被害:

  • HPのデータが全て暗号化され、復旧不可能
  • 身代金は支払わず(支払っても復旧しないケースが多い)
  • HPを一から作り直し: 60万円
  • 復旧までの期間: 1ヶ月

教訓: バックアップがあれば、身代金を払わずに復旧できた

3.今すぐチェックすべき5つのセキュリティ項目

自院のHPが安全か、5つの項目でチェックします。

 

チェック1: SSL化されているか?

確認方法: HPのURLを見る

✅ OK: 「https://」で始まる(鍵マークが表示される) ❌ NG: 「http://」で始まる

SSL化されていない場合のリスク:

  • 通信が暗号化されず、盗聴される
  • Googleの検索順位が下がる
  • ブラウザに「保護されていない通信」と警告表示

対策: サーバー会社に「SSL証明書を導入したい」と依頼(費用: 年間0〜数万円)

チェック2: WordPress等のバージョンが最新か?

確認方法: WordPress管理画面にログイン → 「ダッシュボード」→「更新」を確認

✅ OK: 「お使いのWordPressは最新版です」と表示 ❌ NG: 「WordPressの新しいバージョンが利用可能です」と表示

古いバージョンのリスク:

  • 既知の脆弱性が放置され、攻撃される

対策: すぐに更新ボタンを押す。または、自動更新を有効化。

チェック3: パスワードが強力か?

確認方法: 管理画面のログインパスワードを思い出す

❌ NG例:

  • 「123456」
  • 「password」
  • 「歯科医院名」
  • 生年月日

✅ OK例:

  • 「aB3#xK9$mP2@vL7!」(16桁以上、英数字記号混在)

弱いパスワードのリスク:

  • 総当たり攻撃で簡単に破られる

対策: パスワードマネージャー(1Passwordなど)で強力なパスワードを生成・管理

チェック4: 定期的にバックアップを取っているか?

確認方法: 制作会社または自分に「最後にバックアップを取ったのはいつ?」と聞く

✅ OK: 毎日または毎週、自動でバックアップ ❌ NG: バックアップを取っていない、または半年以上前

バックアップがないリスク:

  • 改ざん・乗っ取りされても復旧できない
  • ランサムウェアに身代金を払うしかない

対策: サーバーの自動バックアップ機能を有効化、またはプラグイン(UpdraftPlusなど)導入

チェック5: 管理画面へのログイン履歴を確認しているか?

確認方法: セキュリティプラグイン(Wordfence等)で、不正ログイン試行を確認

✅ OK: 定期的にログイン履歴をチェック、不審なIPアドレスがないか確認 ❌ NG: ログイン履歴を一度も見たことがない

確認しないリスク:

  • 既に侵入されているのに気づかない

対策: セキュリティプラグインを導入し、週1回ログイン履歴をチェック

4.WordPress等CMSのセキュリティ対策

WordPress利用医院向けに、具体的な対策を解説します。

対策1: WordPress本体・プラグイン・テーマの自動更新

設定方法: 管理画面 → 「ダッシュボード」→「更新」→「自動更新を有効化」

注意点: 自動更新で稀にサイトが崩れることがあります。対策として、バックアップを併用します。

対策2: セキュリティプラグインの導入

おすすめプラグイン:

Wordfence Security(無料):

  • ファイアウォール機能
  • マルウェアスキャン
  • 不正ログイン試行のブロック
  • ログイン履歴の記録

iThemes Security(無料):

  • ブルートフォース攻撃の防止
  • ファイル変更検知
  • 2段階認証

導入方法: 管理画面 → 「プラグイン」→「新規追加」→「Wordfence」で検索 → インストール → 有効化

対策3: 管理画面URLの変更

WordPressの管理画面URLは、デフォルトで「https://〇〇.com/wp-admin/」です。これは攻撃者も知っているため、変更します。

変更方法: プラグイン「WPS Hide Login」を使用

変更後: 「https://〇〇.com/secret-login-page/」(自分で決められる)

対策4: ログイン試行回数の制限

パスワードを総当たりで試す攻撃(ブルートフォース攻撃)を防ぐため、ログイン失敗を一定回数繰り返したIPアドレスをブロックします。

設定方法: Wordfenceまたはログイン試行回数制限プラグインを導入

例: 5回連続でログイン失敗 → 24時間ブロック

対策5: 不要なプラグインの削除

使っていないプラグインは、脆弱性の温床になります。定期的に見直し、不要なものは削除します。

確認方法: 管理画面 → 「プラグイン」→ 「無効」になっているプラグインを削除

5.バックアップ・復旧体制の構築方法

万が一に備え、バックアップと復旧体制を整えます。

バックアップの基本ルール

ルール1: 3-2-1ルール

  • 3: データを3つ保存(本番サーバー + バックアップ2つ)
  • 2: 2種類の媒体に保存(サーバー + クラウドストレージ)
  • 1: 1つは遠隔地に保存(別のクラウドサービス等)

ルール2: 定期的に(最低週1回)

毎日が理想ですが、最低でも週1回はバックアップを取ります。

ルール3: 自動化

手動だと忘れるため、自動バックアップを設定します。

WordPressのバックアップ方法

方法1: サーバーの自動バックアップ機能

エックスサーバー、さくらインターネット等の主要サーバーは、自動バックアップ機能があります。

設定方法: サーバーの管理画面 → 「バックアップ」→「自動バックアップを有効化」

方法2: プラグイン(UpdraftPlus)

設定手順:

  1. UpdraftPlusをインストール・有効化
  2. 設定画面で、バックアップスケジュールを設定(例: 毎週日曜日)
  3. バックアップの保存先を設定(Googleドライブ、Dropbox等)

方法3: 制作会社に依頼

月額保守契約で、バックアップを代行してもらいます。

復旧テストの実施

バックアップを取っていても、復旧できなければ意味がありません。年に1回は、復旧テストを実施します。

テスト手順:

  1. テスト環境(別のサーバー)を用意
  2. バックアップデータを復元してみる
  3. 正常に表示されるか確認

6.被害に遭ってしまった場合の対処手順

万が一、乗っ取り・改ざん被害に遭った場合の対処手順です。

 

ステップ1: HPを即座に閉鎖(30分以内)

被害拡大を防ぐため、HPを一時的に閉鎖します。

方法: サーバーの管理画面で、サイトを非公開に設定。または、制作会社に連絡して停止してもらう。

ステップ2: 証拠の保全(1時間以内)

改ざんされたページのスクリーンショットを撮り、保存します(警察への被害届、保険請求に必要)。

ステップ3: パスワードの変更(2時間以内)

管理画面、サーバー、データベース等、全てのパスワードを変更します。

ステップ4: 専門家への連絡(3時間以内)

  • 制作会社(HP復旧)
  • サーバー会社(ログ調査)
  • セキュリティ専門会社(原因調査、再発防止策)
  • 弁護士(情報漏洩の場合)
  • 警察(サイバー犯罪相談窓口)

ステップ5: 患者への告知(24時間以内)

情報漏洩の可能性がある場合、患者に速やかに告知します。

告知文の例:

【重要なお知らせ】

 

当院のホームページが不正アクセスを受け、予約フォームから入力いただいた個人情報(氏名、電話番号、メールアドレス)が漏洩した可能性があります。

 

現在、専門家と協力し、原因調査と対策を進めております。

 

該当する患者様には、個別にご連絡いたします。ご心配をおかけし、誠に申し訳ございません。

 

〇〇歯科クリニック

院長 △△

ステップ6: 復旧作業(数日〜数週間)

バックアップから復元、またはHP再構築を行います。

ステップ7: 再発防止策の実施

前述のセキュリティ対策を全て実施します。

7.まとめ

HP乗っ取り・改ざんは、他人事ではありません。SSL化、最新バージョンへの更新、強力なパスワード、定期バックアップの4つで、リスクを大幅に減らせます。今日からセキュリティ対策を始めましょう。

今すぐできる5つのアクション

  1. □ SSL化されているか確認(https://で始まるか)
  2. □ WordPressのバージョン確認・更新
  3. □ パスワードを強力なものに変更(16桁以上)
  4. □ バックアッププラグイン導入(UpdraftPlus等)
  5. □ セキュリティプラグイン導入(Wordfence等)

セキュリティ対策チェックリスト

基本対策:

□ SSL化済み

□ WordPress・プラグイン・テーマが最新版

□ パスワードが16桁以上、英数字記号混在

□ 定期バックアップ(週1回以上、自動)

 

追加対策:

□ セキュリティプラグイン導入

□ 管理画面URLを変更

□ ログイン試行回数制限

□ 不要なプラグイン削除

□ 2段階認証設定

 

復旧体制:

□ バックアップの保存先を複数確保

□ 復旧テストを年1回実施

□ 被害時の連絡先リストを作成

制作会社への確認事項

自院のHPを制作会社に管理してもらっている場合、

以下を確認しましょう:

 

□ 自動バックアップは有効か?

□ WordPressの自動更新は有効か?

□ セキュリティプラグインは導入されているか?

□ 緊急時の連絡先は?(24時間対応可能か?)

セキュリティ診断の依頼テンプレート

件名: セキュリティ診断の依頼

 

お世話になっております。

〇〇歯科クリニックの△△です。

 

当院のホームページのセキュリティ状況を

診断していただきたくご連絡いたしました。

 

【確認したい項目】

  1. SSL化の状況
  2. WordPress・プラグインのバージョン
  3. バックアップの設定状況
  4. セキュリティプラグインの導入状況
  5. パスワード強度
  6. 脆弱性診断

 

お見積りをお願いいたします。

最後に

「うちは狙われない」という油断が、最大のリスクです。今日からできる対策を、一つずつ実行しましょう。特にバックアップは、被害に遭ってから後悔しても遅いです。

「セキュリティ診断をしてほしい」「対策を代行してほしい」という院長先生は、株式会社リバティーフェローシップ(東京歯科経営ラボ)にご相談ください。

セキュリティ診断、脆弱性対策、バックアップ設定、万が一の復旧サポートまで、トータルでお手伝いします。

【無料診断受付中】 あなたのHP、セキュリティは大丈夫?無料で診断します。

 

投稿者プロフィール

NAOKI OZAWA
歯科コンサルタント小澤直樹
2002年よりコンサルティング活動を開始。2008年から歯科コンサルタントとして勤務した後20017年より現職。

ホームページ制作のご相談・資料請求はこちら

お気軽にお問合せください 。
現在運用中のホームページのセカンドオピニオンや、開業時のご相談も柔軟にうけたまわります。先生がお手すきのときに、お電話でご連絡をいただくのも大歓迎です。
コスパno.1級/ホームページ制作のご相談・資料請求はこちら
hp
トラブル・リスク管理