編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

医療アプリケーションに脆弱性--患者データ改ざんのおそれ

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2016-05-30 10:20

 医療チームが外科手術前に患者データを管理するのを支援するアプリケーションスイートに、ユーザー名とパスワードがハードコーディングされており、それを悪用されると患者記録へのアクセスと改ざんが可能になるおそれがあることが明らかになった。

 問題が見つかったのはMEDHOSTの「Perioperative Information Management System」(PIMS)。PIMSにハードコーディングされた認証情報は公に開示されていないが、攻撃者にそれを知られると、同アプリケーションに「バックドア」から侵入され、手術直前または手術後の患者の機微情報が閲覧および改ざんされてしまうおそれがある。

TechRepublic Japan関連記事

 このバグの発覚を受けて、バグやセキュリティ問題を追跡する米カーネギーメロン大学のCERT(コンピュータ緊急事態対応チーム)はアドバイザリを公開し、管理者に対して、その認証情報を削除するPIMSの新バージョンへのアップグレードを実行するよう警告した。

 同アプリケーションのユーザー(通常は診療スタッフや医師)は患者に関する広範なデータを入手することができる。MEDHOSTのウェブサイトによると、同アプリケーションを利用することで、麻酔医は「重要な患者情報にリアルタイムでアクセスし、それによって、患者の健康状態や体調が良好な状態にあるかどうかを確認できる」という。また、PIMSは「患者の病歴や健康診断などに関する詳細な情報を提供し、診療科内のすべての臨床医がそれを容易に利用できる」という。

 アドバイザリによると、攻撃者は「サーバと直接通信」できる必要があるという。しかし、PIMSはリモートでホストおよび管理することができると、同アプリケーションのマニュアルには書かれている。

 MEDHOSTのウェブサイトによると、PIMSアプリケーションは「最初の診察、全身麻酔、看護師による記録から、意思決定のサポート、手術後の退院まで、さまざまな患者データや診療システムへのリアルタイムアクセス」を提供するという。

 どれだけ多くの施設、どれだけ多くのユーザーおよび患者が影響を受けるのかは不明だ。MEDHOSTは約1000の医療施設にPIMSを提供していると言われている。

 米ZDNetは米国時間5月26日遅く、MEDHOSTの広報担当に詳しいコメントを求めたが、回答は得られなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]