医療チームが外科手術前に患者データを管理するのを支援するアプリケーションスイートに、ユーザー名とパスワードがハードコーディングされており、それを悪用されると患者記録へのアクセスと改ざんが可能になるおそれがあることが明らかになった。
問題が見つかったのはMEDHOSTの「Perioperative Information Management System」(PIMS)。PIMSにハードコーディングされた認証情報は公に開示されていないが、攻撃者にそれを知られると、同アプリケーションに「バックドア」から侵入され、手術直前または手術後の患者の機微情報が閲覧および改ざんされてしまうおそれがある。
このバグの発覚を受けて、バグやセキュリティ問題を追跡する米カーネギーメロン大学のCERT(コンピュータ緊急事態対応チーム)はアドバイザリを公開し、管理者に対して、その認証情報を削除するPIMSの新バージョンへのアップグレードを実行するよう警告した。
同アプリケーションのユーザー(通常は診療スタッフや医師)は患者に関する広範なデータを入手することができる。MEDHOSTのウェブサイトによると、同アプリケーションを利用することで、麻酔医は「重要な患者情報にリアルタイムでアクセスし、それによって、患者の健康状態や体調が良好な状態にあるかどうかを確認できる」という。また、PIMSは「患者の病歴や健康診断などに関する詳細な情報を提供し、診療科内のすべての臨床医がそれを容易に利用できる」という。
アドバイザリによると、攻撃者は「サーバと直接通信」できる必要があるという。しかし、PIMSはリモートでホストおよび管理することができると、同アプリケーションのマニュアルには書かれている。
MEDHOSTのウェブサイトによると、PIMSアプリケーションは「最初の診察、全身麻酔、看護師による記録から、意思決定のサポート、手術後の退院まで、さまざまな患者データや診療システムへのリアルタイムアクセス」を提供するという。
どれだけ多くの施設、どれだけ多くのユーザーおよび患者が影響を受けるのかは不明だ。MEDHOSTは約1000の医療施設にPIMSを提供していると言われている。
米ZDNetは米国時間5月26日遅く、MEDHOSTの広報担当に詳しいコメントを求めたが、回答は得られなかった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
