[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」 | ScanNetSecurity
2024.05.18(土)

[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」

実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。

特集 特集
会場となったアルツ磐梯スキー場。リゾート地だが筆者がゲレンデを踏むことはなかった。
会場となったアルツ磐梯スキー場。リゾート地だが筆者がゲレンデを踏むことはなかった。 全 6 枚 拡大写真
星野リゾートアルツ磐梯スキー場という、セキュリティとは無縁に思える福島県のリゾート地で毎年開催されているイベントがある。「Hackで医療に革命を起こす」というコンセプトで行われている「Medical x Security Hackathon」だ。今年は2015年3月7日(土)、8日(日)に「Medical x Security Hackathon 2015」としてカンファレンスとハッカソンの2つのイベントが開催され、100名近い人々が集まった。


基調講演では内閣サイバーセキュリティセンター副センター長の谷脇康彦氏が「データ主導型社会とサイバーセキュリティ」というテーマで、異なる領域の人たちが持っているデータをどのようにして領域を越えてつなぐかといった話が行われた。

データ主導型社会は「オープンデータ(官民)」「ノウハウのデータ(農業など)」「センサーなどのM2M」「パーソナルデータ」などの情報を流通させるプラットフォームを整備することで、異なる領域の人が異なるデータを見ることによって新しいソリューションや価値を生み出していくというものである。たとえば、地盤を3D化したモデルを作ろうとした場合、1からデータを集めることは非常に大変な作業が必要だ。しかし、ビルを建てるときには地質調査のためにボーリング調査を行うので、市町村が持っているこれらのデータを活用することで容易に実現することができるといったことだ。

今年開始されるマイナンバー(社会保障・税番号制度)は税金を集めるための仕組みであることは間違いないが、たとえば個人情報に誰がアクセスしたのかといったことを判るようにしたり、信頼が出来るシングルサインオンの仕組みとして活用したりと、サイバーセキュリティのためにも活用できるようにしたいと谷脇氏は語った。

特定非営利活動法人ヘルスケアクラウド研究会理事の笹原英司氏は「市民参加型健康医療イノベーションと情報セキュリティ」というテーマで講演し、海外の病院などに対するサイバー攻撃の事例などを紹介した。アメリカの病院にはCSIRTがあるところもあるが、日本ではCIOすらいないところも多いと語った。

ハッカソン部門では新しい医療アプリケーションやサービスを提案する「アプリ・サービス部門」と、医療機器やソフトウェアの脆弱性診断を行う「セキュリティ部門」が開催された。このうちセキュリティ部門は神戸のサテライト会場でも並行して行われた。

セキュリティ部門では実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。評価基準としては、発見した脆弱性の深刻度をCVSSの基本評価基準によってスコアリングしたものと、プレゼンテーションによる脆弱性攻撃手法のアピールによって総合的に決定される。

リゾート地ならではの趣向も凝らしていて、参加者はメインの会場以外にもアルツ磐梯スキー場のゴンドラに乗って山の中腹まで行ったところにあるカフェで作業することも許可されている。

優勝した「脳トン(編集部註:「トン」の表記は「ト」が左上、「ン」が右下に記載される特殊記号)」チームは、SQLインジェクションやXSS、セッションフィクセイションなど数多くの脆弱性を発見していた。その中でも、ファイルアップロードの脆弱性をうまく活用することで、対象となるサーバー上で任意のコマンドを実行できてしまうといった致命的な脆弱性も報告された。

2位の「三重螺旋」チームは患者の病歴や治験管理を行うシステムの脆弱性を多数発見し、プレゼンテーションでは患者データの閲覧や保険請求情報の閲覧などの実害にも触れていた。ハッカソンで発見された脆弱性は後日しかるべきところに報告されるとのことだ。

《上野 宣》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  2. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  3. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  4. 検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

    検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

    認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

    脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  8. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  9. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

    DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

  10. runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

    runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

ランキングをもっと見る