最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性 | ScanNetSecurity
2024.03.29(金)

最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性

米国は医療先進国であると同時に医療ITの先進国でもある。当然セキュリティも話題になるが、ペースメーカーや医療機器のハッキングに関する議論が目立つ。しかし、患者視点で医療ITやアプリの問題を取り上げたものは多くない。

研修・セミナー・カンファレンス セミナー・イベント
最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性
最新医療系 IT システムのセキュリティを「生体検査」、見えてきた脆弱性 全 6 枚 拡大写真
 米国は医療先進国であると同時に医療 IT の先進国でもある。電子カルテや初期診断や治療方針の意思決定にも IT や AI を活用する。当然セキュリティも課題となるが、ペースメーカーや医療機器のハッキングに関する派手な議論ばかり目立ち、患者視点で医療 IT やアプリの問題を取り上げたものは多くない。

 Penn Medicine(ペンシルバニア大学医療システム)に 10 年以上勤務するセキュリティアナリスト セス・フォジー氏は昨夏開催された Blackhat USA 2020 において、ヘルスケア関連アプリの脆弱性やそれによって起こりううる被害、インパクトについての分析、いわば「ヘルスケアアプリの生体検査を行った」結果を発表した。本稿ではその要旨をかいつまんで紹介する。

●患者向け端末のハッキング

 フォジー氏は、米国の医療現場でなじみのあるシステムや機器の脅威を説明する上で「ボブ」「アリス」という夫婦と「マロリー」(攻撃者・犯罪者)という 3 名のアバターを用いる。これは、専門家が忘れがちな、患者視点でのリスクや脅威、被害のインパクトをわかりやすくするためだという。

 ボブとアリスは典型的なアメリカの熟年夫婦だ。ボブは膵臓に問題を抱え「 Blackhat 医院」にかかっている。膵臓の病気は手術が必要でボブは入院している。アリスは病室につきそっているが、時間つぶしに、病院が提供するエンターテインメント端末でテレビを見るのが日課でもある。

 そこに突然「やあ、アリス。5 号室のボブは元気ですか? お大事にしてください。いつも見てますよ」という怪しげなメッセージが表示される。送り主はマロリー。これはハッキングでありセキュリティインシデントだ。アリスは病院に通報し相談することになるが、なぜこのようなことが起きたのか。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る