[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」

星野リゾートアルツ磐梯スキー場という、セキュリティとは無縁に思える福島県のリゾート地で毎年開催されているイベントがある。「Hackで医療に革命を起こす」というコンセプトで行われている「Medical x Security Hackathon」だ。今年は2015年3月7日(土)、8日(日)に「Medical x Security Hackathon 2015」としてカンファレンスとハッカソンの2つのイベントが開催され、100名近い人々が集まった。

基調講演では内閣サイバーセキュリティセンター副センター長の谷脇康彦氏が「データ主導型社会とサイバーセキュリティ」というテーマで、異なる領域の人たちが持っているデータをどのようにして領域を越えてつなぐかといった話が行われた。

データ主導型社会は「オープンデータ（官民）」「ノウハウのデータ（農業など）」「センサーなどのM2M」「パーソナルデータ」などの情報を流通させるプラットフォームを整備することで、異なる領域の人が異なるデータを見ることによって新しいソリューションや価値を生み出していくというものである。たとえば、地盤を3D化したモデルを作ろうとした場合、1からデータを集めることは非常に大変な作業が必要だ。しかし、ビルを建てるときには地質調査のためにボーリング調査を行うので、市町村が持っているこれらのデータを活用することで容易に実現することができるといったことだ。

今年開始されるマイナンバー（社会保障・税番号制度）は税金を集めるための仕組みであることは間違いないが、たとえば個人情報に誰がアクセスしたのかといったことを判るようにしたり、信頼が出来るシングルサインオンの仕組みとして活用したりと、サイバーセキュリティのためにも活用できるようにしたいと谷脇氏は語った。

特定非営利活動法人ヘルスケアクラウド研究会理事の笹原英司氏は「市民参加型健康医療イノベーションと情報セキュリティ」というテーマで講演し、海外の病院などに対するサイバー攻撃の事例などを紹介した。アメリカの病院にはCSIRTがあるところもあるが、日本ではCIOすらいないところも多いと語った。

ハッカソン部門では新しい医療アプリケーションやサービスを提案する「アプリ・サービス部門」と、医療機器やソフトウェアの脆弱性診断を行う「セキュリティ部門」が開催された。このうちセキュリティ部門は神戸のサテライト会場でも並行して行われた。

セキュリティ部門では実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。評価基準としては、発見した脆弱性の深刻度をCVSSの基本評価基準によってスコアリングしたものと、プレゼンテーションによる脆弱性攻撃手法のアピールによって総合的に決定される。

リゾート地ならではの趣向も凝らしていて、参加者はメインの会場以外にもアルツ磐梯スキー場のゴンドラに乗って山の中腹まで行ったところにあるカフェで作業することも許可されている。

優勝した「脳トン（編集部註：「トン」の表記は「ト」が左上、「ン」が右下に記載される特殊記号）」チームは、SQLインジェクションやXSS、セッションフィクセイションなど数多くの脆弱性を発見していた。その中でも、ファイルアップロードの脆弱性をうまく活用することで、対象となるサーバー上で任意のコマンドを実行できてしまうといった致命的な脆弱性も報告された。

2位の「三重螺旋」チームは患者の病歴や治験管理を行うシステムの脆弱性を多数発見し、プレゼンテーションでは患者データの閲覧や保険請求情報の閲覧などの実害にも触れていた。ハッカソンで発見された脆弱性は後日しかるべきところに報告されるとのことだ。