drchrono社の電子医療記録「EHR」用Webアプリに複数の脆弱性(JVN)
IPAおよびJPCERT/CCは、drchrono社が提供する電子医療記録(Electronic Health Record:EHR)用のWebアプリケーションに複数の脆弱性が存在すると「JVN」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
drchrono.com、onpatient.comなどのドメインで提供されている「drchrono Electronic Health Record(EHR)」にはクロスサイトスクリプティングの脆弱性およびクロスサイトリクエストフォージェリの脆弱性が存在する。ただし、「第三者が認証済みユーザになり(あるいはなりすまし)、細工されたコンテンツをアップロードもしくは送信する」「第三者がアップロードしたコンテンツ、もしくは用意したWebページに、認証済みユーザ(現実的には臨床医)を誘導しアクセスさせる」という条件がある。
この脆弱性が悪用されると、ユーザがWebアプリケーションにアップロードされている、あるいは攻撃者のサイト上に用意されている細工されたWebページにアクセスすることで、患者のカルテ情報や個人を特定する情報を取得される可能性がある。なお、本脆弱性は2014年10月6日の時点で修正されている。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
この記事の写真
/
関連リンク
特集
アクセスランキング
-
護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分
-
デジサートのEV証明書の記載フォーマットに誤り、再発行とサーバへの入れ替え呼びかけ
-
東京電力エナジーパートナー、電力・ガス取引監視等委員会からの報告徴収に対する報告書提出
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし
-
新日本プロレスリングオフィシャルファンクラブ会員情報を保存した USB メモリ紛失
-
AI とドローン利活用最悪事例 ~ 米保険会社 住宅空撮し保険契約 猛烈却下
-
テレビ宮崎グループ会社にランサムウェア攻撃、請求書発行システムを停止
-
ホビー・キャラクター関連商品販売 アルジャーノンプロダクトのホームページで不正アクセスが原因の表示トラブル
-
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/44783.jpg)
北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]