1:名無しさん


NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。大阪市の病院が昨秋に受けたサイバー攻撃による被害の原因を調べる過程で、発覚した。NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている。

 サイバー攻撃の被害に遭ったのは、大阪急性期・総合医療センター(大阪市住吉区)。

 昨年10月、電子カルテのサーバーがランサムウェア(身代金ウイルス)に感染し、少なくとも数十台でデータが暗号化された。患者のデータなどが破壊され、約2カ月にわたって救急患者の受け入れや外来診療に影響が出た。

 政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。

 病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。

全文はこちら
https://www.asahi.com/articles/ASR3T4VNZR3RULZU003.html?iref=comtop_7_06

 

2:名無しさん


どんなに複雑な暗号化技術を使っても運用する人間がセキュリティホールになったら意味が無い。

 

371:名無しさん

>>2
50年以上前からずっと言われている事実

3:名無しさん


VPN装置のアップデートじゃなかったの?

 

12:名無しさん


パスワードは123456?

 

17:名無しさん


>半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。

くっそわらうけど悲しいけどこれ現実なのよね。

 

21:名無しさん


だからさ、個別のパスワードを入力させて運用すること自体が無理なんだよ
どんなに厳格なルールを作っても人間がヨシすれば無意味
NECはほんと無能

 

23:名無しさん


今月のパスワードとかホワイトボードに書いてある病院もあったな

 

26:名無しさん


よく解雇されないな

NEC 医療ソリューション事業部門 中島誠一郎ディレクター
「病院内の閉じられたネットワークという部分を過信してシステムを構築していたのは事実。今後は考え方を改め、抜本的なセキュリティー対策を講じていく」

 

27:名無しさん


一定期間でパスワード変えましょうっていうとヘルプデスクがパンクするという…

 

56:名無しさん

>>27
自分と縁がある番号ならともかく、適当に決められた英数字記号なんか覚えてられんし見ながら打つにしても間違うからやめて欲しい

245:名無しさん

>>27
厚労省のガイドラインでパスワードを定期的に変更するよう書かれてるけど、記憶し直せる単純なパスワードより、簡単には覚えられないような長く複雑で他から類推できないパスワードに固定する方が安全じゃないのかな
そんな報告も見た気がする

28:名無しさん


サーバのパスワード変更すると、スクリプト埋め込み(平文直書き)の実体が把握できない為、オススメできませんって言われる…

 

29:名無しさん


アカウント毎にかねとるから?

 

35:名無しさん


手術中に別の人の指示を出すこともあらるからね
キーボードもタッチパネルも触れない

 

49:名無しさん


実際電子カルテの推奨パスワードは大文字小文字アルファベット記号数字を組み合わせた13文字以上が推奨されてる。
だけどそんな馬鹿な事やってる病院はないだろう。

 

55:名無しさん

>>49
うちはやってるよ
俺はスマホの下四桁と*.IDにしてるわ

69:名無しさん


そういう運用したいシステムは隔離すればいいんじゃね?
銀行の勘定系と情報系みたいな感じで

 

70:名無しさん


対策が終わったから公表したのかな
よく半年もこの情報が広がるのを抑えられたものだ

 

71:名無しさん


大体なんで電子カルテシステムが
インターネットにつながってんだよ

 

74:名無しさん

>>71
保険請求がオンラインだから
これもまもなく義務化される

77:名無しさん

>>71
地域連携システムの他の病院からもありえる

78:名無しさん


自宅のWi-Fiルータですら購入後真っ先に初期設定のパスワードから変えるぞ
何万人の患者から個人情報預かっててそのままとか何を考えてるんだ

 

89:名無しさん


ところで全サーバのパソコンに管理者権限でアクセスできるIDが
ActiveDirectoryに存在するというのもここで言われているような
状態に相当するの?

 

103:名無しさん


どんなにIT化が進んでもIDとPWでログインしてる限りセキュリティの穴は埋まらないよな
肝心な部分が人任せだもんな

 

120:名無しさん


最近はパスワード無し認証(生体認証)や多要素認証とかも増えてるわね

 

136:名無しさん

>>120
電子カルテを導入した当初は
指紋認証だったけれども
特に看護師は手が荒れる人が多くて
指紋センサーがエラーになるんですよね

127:名無しさん


「IDとパスワードが使いまわされてる」ってなかなか凄いな
IDが人に紐づいてなくてadmin垢で運用してるってことでしょ?

 

146:名無しさん


医者は頭がいいと思ってたんだが

 

159:名無しさん

>>146
医学専門分野は詳しいが専門外はからっきしダメでしょ。

148:名無しさん


最初から全て公開すればセキュリティなんて必要ない

 

179:名無しさん


医療従事者は医者も含めてIT音痴だらけだからな
患者データ持ち帰りとか当たり前の世界だぞ

 

185:名無しさん


NEC MegaOakIBARS
富士通 HOPE
病院に入ってるシステムはこのどちらか

 

220:名無しさん

>>185
そのあたりが大手な感じあるけど、確かシャープ・IBM・日立あたりの電子カルテシステムもあったはず
10年以上前の記憶だけど
あと中小企業で、大手のシステムと連携して動作する電子カルテをリリースしてるところもあった

188:名無しさん


利用者が仕組みを理解してセキュリティ意識高く維持して業務にあたってるなんてのはないからね。
年一で社内セキュリティ教育やってもだいたい寝てるやろ。

 

213:名無しさん


サーバのAdmin用ID、PWをどうするかは悩ましい問題
大量のサーバを管理しているところでサーバ別に独自のIDとPWを設定するといちいち覚えていられないから

 

214:名無しさん


俺も取引先のサーバーがこれで全部ぶっ飛んで、それを機会に取引切られて年商2000万円失った
セキュリティは俺の責任ではないのにw
泣きたいw