[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」 | ScanNetSecurity
2024.05.16(木)

[レポート] 医療とセキュリティのハッカソン「Medical x Security Hackathon 2015」

実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。

特集 特集
会場となったアルツ磐梯スキー場。リゾート地だが筆者がゲレンデを踏むことはなかった。
会場となったアルツ磐梯スキー場。リゾート地だが筆者がゲレンデを踏むことはなかった。 全 6 枚 拡大写真
星野リゾートアルツ磐梯スキー場という、セキュリティとは無縁に思える福島県のリゾート地で毎年開催されているイベントがある。「Hackで医療に革命を起こす」というコンセプトで行われている「Medical x Security Hackathon」だ。今年は2015年3月7日(土)、8日(日)に「Medical x Security Hackathon 2015」としてカンファレンスとハッカソンの2つのイベントが開催され、100名近い人々が集まった。


基調講演では内閣サイバーセキュリティセンター副センター長の谷脇康彦氏が「データ主導型社会とサイバーセキュリティ」というテーマで、異なる領域の人たちが持っているデータをどのようにして領域を越えてつなぐかといった話が行われた。

データ主導型社会は「オープンデータ(官民)」「ノウハウのデータ(農業など)」「センサーなどのM2M」「パーソナルデータ」などの情報を流通させるプラットフォームを整備することで、異なる領域の人が異なるデータを見ることによって新しいソリューションや価値を生み出していくというものである。たとえば、地盤を3D化したモデルを作ろうとした場合、1からデータを集めることは非常に大変な作業が必要だ。しかし、ビルを建てるときには地質調査のためにボーリング調査を行うので、市町村が持っているこれらのデータを活用することで容易に実現することができるといったことだ。

今年開始されるマイナンバー(社会保障・税番号制度)は税金を集めるための仕組みであることは間違いないが、たとえば個人情報に誰がアクセスしたのかといったことを判るようにしたり、信頼が出来るシングルサインオンの仕組みとして活用したりと、サイバーセキュリティのためにも活用できるようにしたいと谷脇氏は語った。

特定非営利活動法人ヘルスケアクラウド研究会理事の笹原英司氏は「市民参加型健康医療イノベーションと情報セキュリティ」というテーマで講演し、海外の病院などに対するサイバー攻撃の事例などを紹介した。アメリカの病院にはCSIRTがあるところもあるが、日本ではCIOすらいないところも多いと語った。

ハッカソン部門では新しい医療アプリケーションやサービスを提案する「アプリ・サービス部門」と、医療機器やソフトウェアの脆弱性診断を行う「セキュリティ部門」が開催された。このうちセキュリティ部門は神戸のサテライト会場でも並行して行われた。

セキュリティ部門では実際の医療現場で使われているレセプトソフトなど数種類のWebアプリケーションが主催者から提供され、それに対して脆弱性診断を行う。ソースコードが提供されるものもあるので、テストはブラックボックス形式の診断かソースコード診断かは問わない。評価基準としては、発見した脆弱性の深刻度をCVSSの基本評価基準によってスコアリングしたものと、プレゼンテーションによる脆弱性攻撃手法のアピールによって総合的に決定される。

リゾート地ならではの趣向も凝らしていて、参加者はメインの会場以外にもアルツ磐梯スキー場のゴンドラに乗って山の中腹まで行ったところにあるカフェで作業することも許可されている。

優勝した「脳トン(編集部註:「トン」の表記は「ト」が左上、「ン」が右下に記載される特殊記号)」チームは、SQLインジェクションやXSS、セッションフィクセイションなど数多くの脆弱性を発見していた。その中でも、ファイルアップロードの脆弱性をうまく活用することで、対象となるサーバー上で任意のコマンドを実行できてしまうといった致命的な脆弱性も報告された。

2位の「三重螺旋」チームは患者の病歴や治験管理を行うシステムの脆弱性を多数発見し、プレゼンテーションでは患者データの閲覧や保険請求情報の閲覧などの実害にも触れていた。ハッカソンで発見された脆弱性は後日しかるべきところに報告されるとのことだ。

《上野 宣》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

    東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される

  3. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  4. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  5. ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

    ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入

  6. 個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

    個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕

  7. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  8. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  9. 太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨

    太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨

  10. 知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に

    知多メディアスネットワークのアプリで CNCI グループ 2 社の個人情報が閲覧可能に

ランキングをもっと見る