Health2.0開催、医療ソフトウェアに多数の脆弱性を発見

2013年3月15日（金）、16日（土）に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter/Medical × Security Hackathon 2013」が開催された。

製品・サービス・業界動向業界動向

2013.3.19 Tue 16:24

2013年3月15日（金）、16日（土）に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter/Medical × Security Hackathon 2013」が開催された。経済産業省東北経済産業局平成24年度地域新成長産業創出促進事業として支援を受けている「Health 2.0」は、医療従事者だけでなく、大学生や開発者やセキュリティエンジニア、デザイナーなどが参加し、医療に関するアイデアやセキュリティの問題解決を行い、情報共有を行うことで創発的なコミュニティを築き上げることを目的としている。

「Health2.0」では「セキュリティハッカソン」というイベントが開催された。参加者はネットワーク上にセットアップされた医療ソフトウェアにアクセスし、脆弱性を見つけ出すために脆弱性診断やペネトレーションテストなどを行う競技で、優勝者には10万円が贈呈される。医療ソフトウェアとセキュリティという他に類を見ないイベントである。

このセキュリティハッカソンは、アルツ磐梯スキー場のゲレンデ全体が会場となり、標高約1300mの山の上でもハッカソンを行うことが可能だ。参加者の中には、1300m地点で競技を行っていたものもいる。

競技では国内でもよく使われている3つの医療ソフトウェアがサーバ上にセットアップされている。ソフトウェアの中にはオープンソースソフトウェアもあり、Webサイトからソースコードを入手することができるものもあった。参加者はネットワーク越しにアクセスを探したり、ソースコードを解析するなどして脆弱性を探す。

競技の2日目午後に猪苗代湖の遊覧船にて審査会が開催され、セキュリティハッカソン参加者によるプレゼンテーションが行われた。

参加者によるプレゼンテーションでは、主催者が用意した医療ソフトウェアに多数の脆弱性が発見された。中には任意のコードが実行できるような脆弱性も発見された。

優勝した千田雅明氏は「診断したソフトウェアの中には製品レベルのセキュリティをまったく持っていないものがあり、セキュアなコードを見つける方が難しいぐらいだ。」と述べた。なお、発見された脆弱性については、適切に開発者に報告されるという。

主催者によると、医療ソフトウェアは病院という閉じた環境で使われるということもあり、セキュリティがまったく意識されていないものが多いという。また、アメリカでは医療系アプリケーションのリリースはFDA（アメリカ食品医薬品局：Food and Drug Administration）の認可を取る必要があるため、一般的なアプリケーションのように脆弱性が発見されるたびに新しいバージョンをリリースすることもままならないという。