米国は医療先進国であると同時に医療 IT の先進国でもある。電子カルテや初期診断や治療方針の意思決定にも IT や AI を活用する。当然セキュリティも課題となるが、ペースメーカーや医療機器のハッキングに関する派手な議論ばかり目立ち、患者視点で医療 IT やアプリの問題を取り上げたものは多くない。
Penn Medicine(ペンシルバニア大学医療システム)に 10 年以上勤務するセキュリティアナリスト セス・フォジー氏は昨夏開催された Blackhat USA 2020 において、ヘルスケア関連アプリの脆弱性やそれによって起こりううる被害、インパクトについての分析、いわば「ヘルスケアアプリの生体検査を行った」結果を発表した。本稿ではその要旨をかいつまんで紹介する。
●患者向け端末のハッキング
フォジー氏は、米国の医療現場でなじみのあるシステムや機器の脅威を説明する上で「ボブ」「アリス」という夫婦と「マロリー」(攻撃者・犯罪者)という 3 名のアバターを用いる。これは、専門家が忘れがちな、患者視点でのリスクや脅威、被害のインパクトをわかりやすくするためだという。
ボブとアリスは典型的なアメリカの熟年夫婦だ。ボブは膵臓に問題を抱え「 Blackhat 医院」にかかっている。膵臓の病気は手術が必要でボブは入院している。アリスは病室につきそっているが、時間つぶしに、病院が提供するエンターテインメント端末でテレビを見るのが日課でもある。
そこに突然「やあ、アリス。5 号室のボブは元気ですか? お大事にしてください。いつも見てますよ」という怪しげなメッセージが表示される。送り主はマロリー。これはハッキングでありセキュリティインシデントだ。アリスは病院に通報し相談することになるが、なぜこのようなことが起きたのか。
Penn Medicine(ペンシルバニア大学医療システム)に 10 年以上勤務するセキュリティアナリスト セス・フォジー氏は昨夏開催された Blackhat USA 2020 において、ヘルスケア関連アプリの脆弱性やそれによって起こりううる被害、インパクトについての分析、いわば「ヘルスケアアプリの生体検査を行った」結果を発表した。本稿ではその要旨をかいつまんで紹介する。
●患者向け端末のハッキング
フォジー氏は、米国の医療現場でなじみのあるシステムや機器の脅威を説明する上で「ボブ」「アリス」という夫婦と「マロリー」(攻撃者・犯罪者)という 3 名のアバターを用いる。これは、専門家が忘れがちな、患者視点でのリスクや脅威、被害のインパクトをわかりやすくするためだという。
ボブとアリスは典型的なアメリカの熟年夫婦だ。ボブは膵臓に問題を抱え「 Blackhat 医院」にかかっている。膵臓の病気は手術が必要でボブは入院している。アリスは病室につきそっているが、時間つぶしに、病院が提供するエンターテインメント端末でテレビを見るのが日課でもある。
そこに突然「やあ、アリス。5 号室のボブは元気ですか? お大事にしてください。いつも見てますよ」という怪しげなメッセージが表示される。送り主はマロリー。これはハッキングでありセキュリティインシデントだ。アリスは病院に通報し相談することになるが、なぜこのようなことが起きたのか。
