電子カルテ、IDとPW使い回しでサイバー攻撃被害拡大 NEC構築 [蚤の市★]
■ このスレッドは過去ログ倉庫に格納されています
NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。大阪市の病院が昨秋に受けたサイバー攻撃による被害の原因を調べる過程で、発覚した。NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている。
サイバー攻撃の被害に遭ったのは、大阪急性期・総合医療センター(大阪市住吉区)。
昨年10月、電子カルテのサーバーがランサムウェア(身代金ウイルス)に感染し、少なくとも数十台でデータが暗号化された。患者のデータなどが破壊され、約2カ月にわたって救急患者の受け入れや外来診療に影響が出た。
政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。
病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。
背景に「現場作業の利便性」
NECは使い回しについて…(以下有料版で,残り842文字)
朝日新聞 2023年3月26日 5時00分
https://www.asahi.com/articles/ASR3T4VNZR3RULZU003.html?iref=comtop_7_06 どんなに複雑な暗号化技術を使っても運用する人間がセキュリティホールになったら意味が無い。 『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえたんだけどどうよ? >>4
「『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえた薄毛外国人おじさん」って映画考えたんだけど面白いと思う? 病院関係って頭良くないと就けない職業なのに
なんでITスキルが低いんだろう >>8
そんなもんに脳みそ使ってる暇があれば医療のために使う
そのために専門家に高い金払ってるんだ うちの電子カルテもNECなんだよな~
そのうち狙われるかもな 個人情報も盗み放題
顔認証なり職員にQR持たせて席を離れたらロックされるようにしないと
作った奴バカだろ >>12
999999とかゾロ目が多かった気がする >半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。
くっそわらうけど悲しいけどこれ現実なのよね。 だからさ、個別のパスワードを入力させて運用すること自体が無理なんだよ
どんなに厳格なルールを作っても人間がヨシすれば無意味
NECはほんと無能 しかもvstaとか使ってる
MRIの画像見るアプリが64bit動作保証外 今月のパスワードとかホワイトボードに書いてある病院もあったな 電子カルテを一括で管理しようとか話出てたな
こんな状態でw よく解雇されないな
NEC 医療ソリューション事業部門 中島誠一郎ディレクター
「病院内の閉じられたネットワークという部分を過信してシステムを構築していたのは事実。今後は考え方を改め、抜本的なセキュリティー対策を講じていく」 一定期間でパスワード変えましょうっていうとヘルプデスクがパンクするという… サーバのパスワード変更すると、スクリプト埋め込み(平文直書き)の実体が把握できない為、オススメできませんって言われる… なんで個別にできないんだ?
リモート用で面倒なだけ? 4桁の数字とICカードの組み合わせあたりが現界だった
触れる人数が多いと生体認証はクレームの嵐になるので諦めた 手術中に別の人の指示を出すこともあらるからね
キーボードもタッチパネルも触れない >>30
売り込みに行く営業が顧客にパスワードの管理をコストとして提示してないから
納品してから「パスワード管理してくださいね」って言ったら
「そんなめんどくさいことおまえらがやれ」
って言われるだけ >>37
だめな営業じゃないかw
依頼があったんだから別途見積もり示して、契約勝ち取るとこまでしなきゃ
チューチューチューですよ! >>31
情報システムの職員が院内に不在の夜間休日帯にトラブルが起きると対応が面倒。
院内にいる事務当直だってバイトや外部からの派遣の、素人だったりするし。 >背景に「現場作業の利便性」
NECがこれ言っちゃダメだろ スタンドアローンだったのにマイナンバーのせいでネットに繋がっちゃったからね あちこちでIDやパスワードだらけでとてもじゃないが覚えられないのだが
みんなどうしてんだ >>1
電子カルテだけでこんな状態なのに
マイナカードを保険証として使うとそれも接続することになるし
うまくいくかね? >>45
もうとっくに繋がってるし
お前がマイナカード持ってようと持ってなかろうと
既にデータは入力されてる 実際電子カルテの推奨パスワードは大文字小文字アルファベット記号数字を組み合わせた13文字以上が推奨されてる。
だけどそんな馬鹿な事やってる病院はないだろう。 何でもかんでもidとパスワード
そりゃこうなるわ
バーカバーカ よくわからんが病院ごとに1つのIDと1つのパスワードでログイン?するのは
理にかなってる気もする >>50
ほんそれ
病院なんだからレントゲン認証とかしたらいいのにな >>49
うちはやってるよ
俺はスマホの下四桁と*.IDにしてるわ >>27
自分と縁がある番号ならともかく、適当に決められた英数字記号なんか覚えてられんし見ながら打つにしても間違うからやめて欲しい でもお前ら自分のPCはパスワード無しや管理者権限で使う無敵モードじゃん 電子カルテには誰が何を記載したか区別するため
医療従事者は各自異なるIDでログインするはず
>>1の記事のIDとパスワードは管理者用のことなのか?
そういえば俺が派遣で働いていた病院は
Fの電子カルテだったが、サーバーの
管理者用IDとパスワードは安直なのだったな
これが原因だとしたら被害の賠償は
NECが負担することになるのか? 世の中の認証はもうマイナカードに一元化しませんか? マイナのオンライン保険証確認のシステム構築をnttで申し込むと
PCがレノボ一択なんだけどどうにかして欲しい >>58
派遣会社ごとのIDだった病院を俺は知ってる
今どう成ってるかは知らんけど >>10
それのほうがマシでしょう
物理的にサーバーに近づかなきゃ見れないから
ドア入口のセキュリティをしっかりしておけばいいんだし >>58
病院スタッフのIDじゃなく、機器設定用じゃね?
機器間接続するのにもバラバラじゃ大変そうだし。 紙に戻してやればいい
何もかもデジタルにする必要は無い >>65
紙カルの病院は給与を倍にしてもスタッフが集まらないから無理よ > 背景に「現場作業の利便性」
セキュリティの話ですぐ利便性いう奴は消えて欲しいわ そういう運用したいシステムは隔離すればいいんじゃね?
銀行の勘定系と情報系みたいな感じで 対策が終わったから公表したのかな
よく半年もこの情報が広がるのを抑えられたものだ 大体なんで電子カルテシステムが
インターネットにつながってんだよ >>71
保険請求がオンラインだから
これもまもなく義務化される >>1
DBにアクセスするプログラムってID、パスワードを直書きしてるの多いんじゃない? >>71
地域連携システムの他の病院からもありえる 自宅のWi-Fiルータですら購入後真っ先に初期設定のパスワードから変えるぞ
何万人の患者から個人情報預かっててそのままとか何を考えてるんだ >>75
全ての病院のシステムサポートが優秀だと思うか? 医療関係者のログインには物理キー使えばいいと思う
システム自体の連携にアクセスキーを設定で固定に埋め込むとかいう話なら
設計に問題があったのかもしれない 全部生体認証とかにでもすりゃいいんかね
システム作るより人間調教するほうが難しいわ >>63
電子カルテシステムの管理者は
医療従事者のようにカルテに記載することは
基本的にないけど、サーバーを24時間監視して
ログを取ったりしますからね >>62
定期的にパスワード変更しましょうって言うNECですら、玄関の鍵は30年変えてないっしょ。 >>81
こういうしたり顔での案ってアホなのばかり >>68
でも複雑にすると人の手に負えなくなるから、ID/パスワード台帳で運用することになり、それが丸ごと漏洩するだけよ。
ここにいるやつだってパスワードを全部暗記して毎回手入力してるやつなんてレアだろ。
それがパスワードの限界だよ。 ところで全サーバのパソコンに管理者権限でアクセスできるIDが
ActiveDirectoryに存在するというのもここで言われているような
状態に相当するの? 前に使ったパスワードを記録してて、再度使おうとすると前に使ってただろって言うの止めろよ
そういうところから流出するんだからな 自分が現場の担当技術者だったら恥ずかしすぎて退職しそう >>86
今は定期パスワード変更は害悪だという見解の方が多いな。
自分はそれに加えて、文字種混合の強制やランダムパスワードの強制も害悪だと思ってるけど。 >>90
前と同じのを使おうとして止められるのはまだしも
前に使ってたのと少ししか違わないからダメって言ってくるのを見て
お前平文を保存してるんかと信用できなくなった >>90
それはパスワードを平文で覚えているわけじゃないから、そこから漏洩することはほぼ無い。
それより、前回と同じパスワードの使用を禁止することによって毎回パスワードを変更せざるを得なくなり、暗記できなくなることが問題。 >>93
なんで平文と断定できるんだよ
暗号化の仕組み知ってる? 病院って複数の人で同じ端末を触るから個人用IDじゃなさそう
だからIDを使いわましてたんだろうな >>1
電子カルテの送ってくる情報提供書は20ページ以上の余白だらけ
読みやすいように人類が工夫した「表」という一大発明品を
こうも読みにくくするコンピューター(のメーカー)の頭の悪さよ
読みにくくて仕事にならないし
臨床現場では医療ミス〜事故の温床にさえなっている 任されたNECは素人同然の管理しかしなかったってことだね。NECって、問題が発生しないと動けないゴミ会社だね。 どんなにIT化が進んでもIDとPWでログインしてる限りセキュリティの穴は埋まらないよな
肝心な部分が人任せだもんな >>98
前回と近いパスワードを検出するにあたって、どんな安全な方法が考えられる? 副院長派「PW:geribennaga」
外科部長派「PW:hukudomari」 >>95
携帯の下四桁*.ID逆入力
例
0000*.4321
これだけで対応できるよ
もう数年悩んだ事がない
全部これで統一してる >>104
そういうことができる性質を持つものは
運営も信用できない状況での暗号化に使うべきでないと思う >>100
人のIDでカルテ触るなって言うんだけど
そんなの守ってる暇が無いんだよね
携帯みたいに親指で1秒以内ならログインし直すけど >>92
理由が、返ってパスワードが脆弱になるから、だからな
アナログな理由で止めるならシステムもアナログに戻せばいいのにw
現代人にコンピュータは早かった >>106
そのルールの個別の是非はともかく、
そういう他人に類推されず充分な桁数が得られる生成ルールで運用するのがいいと思うよ。自分もそう。
ただ組織で使うパスワードだと、そのルールが漏れる可能性があるからちょっと厳しいよね。 デジタル庁でパスワード管理ソフト作って国民に提供してくれ >>95
/etc/shadowに不可逆な形で保存されており暗号化されたものからパスワード推定は総当たりしかできない。
前回パスワードと1文字ないし2文字違いというのは上記の不可逆暗号化していると判定できない。
従い、平文で保存されていると推測される。 病院にも情報システム管理者が必要てことだな
病院でこれだよ
マイナンバーカード保険証義務化で個人クリニックもネットにつながるけど個人クリニックを踏み台にしてハッキングされまくりだな
保険証連携は危ない
しばらく様子見が吉 >>102
素人とは思わないけど、特殊な製品ということで普通のシステムとは
独立した集団で開発・維持されていたかもしれんね。 うちは社員証にQRがついてて
システムにログインするときは
そのQRでログインするようになってるよ >>115
うん、完全一致以外の判定をするならね。>>93 からの流れはそれだろ。 最近はパスワード無し認証(生体認証)や多要素認証とかも増えてるわね >>118
社員証を落としたらダメですね。13桁のパスワードも設定しましょう >>113
デジタル庁が素人の集まりだからムリだろ。
伝染病アプリ丸投げでボロボロ、マイナンバーの仕組みも運用もぼろぼろ。
デジタル庁歴代長官もぼろぼろ。 >>118
パスワードかその他の認証手段併用ですか? >>71
ビッグデータ活用とか地域連携とかてほぼ矯正やぞ
これからはもっと酷くなる >>116
病院にも情報システム管理者が必ず居るよ
例えば今回4月からマイナンバーで保険登録しないと料金が高くなるんだけど
医療事務はそんな細かい通達に対応できないからシステム側で勝手にやる
ただシステムサポートが優秀とは限らない
今勤めてる加増診断加算入れてないと次のページに進めないが、前務めていた病院では画像加算入ってないのに次のページに進めていた
まぁこの辺の分野とネットワークの分野はかなり違う分野らしいけど >>118
QRだけだと複製が簡単だからな。
スマホのカメラもめちゃ性能いいから、遠くからでも充分な解像度で盗めるんじゃね? 「IDとパスワードが使いまわされてる」ってなかなか凄いな
IDが人に紐づいてなくてadmin垢で運用してるってことでしょ? 病院は薬剤管理の関係上入館はIDカード使っていることが多いのにね
IDを使い回すでは誰がカルテ書いたか分からない
改竄できるじゃない >>118
それはつまりパスワードなしIDのみで運用ってことね >>127
先生……個人識別出来る個人用ユーザー使い回される事がたまによくあるんすわ >>128
IDカードで入出管理してるのなんて一部の病院だけだよ
因みにそのIDで電カルのログインは出来ないクソ使用 >>130
病院またいで使いまわされてるからadmin垢の話じゃないの? >>120
電子カルテを導入した当初は
指紋認証だったけれども
特に看護師は手が荒れる人が多くて
指紋センサーがエラーになるんですよね Windows系の認証システムはADで統合して一括管理するが、複数の周辺系システムの連携とは別に更新分だけ非同期配信したりで別な仕組みになってる事もある。
サーバ系はUNIX系やクラウド系なら別管理になる事もあるし、Win系サーバだけで独自AD構築やあAD不参加パターンもある。 レセコン2台+マイナカード受付PC+レセプトオンライン請求専用PC
クリニックの受付デスクはパソコンだらけで仕事になりませんwww >>121
パスワードなんていらないでしょ
誰が社員証を落としたかは特定できるからそいつをみんなで袋叩きにすれば >>125
パソコンに詳しいおじさんレベルだろうね。
そんな専門家だったらとっくに転職してて病院のシステム部門なんてやってないやろ。 >>136
指紋は荒れても静脈は荒れないと思いますが >>114
業者が外部から社内ネットワークに入れるの?
ありえないわ >>125
管理者いるんだ
それで使いまわしは信じられない
医療事務システムはIDは個人ごとだった?
部門でひとつ? >>139
クレジットカード一体型学生証の話を思い出しました
まあ社員証みたいに常に見えるようにぶら下げておけとか
言われないものでしょうから成立するんでしょうけど でもまあそれはそれとして、バックアップ体制はどうなってるんだろうね。
まずオリジナルがランサムウェアの被害にあったことはいろんな方法で検出可能。
汎用的で簡単なのは、おとりのファイルをいくつか置いておいて、それが改竄されたことを検出すればいい。
でその検出ができたなら、バックアップを停止すれば汚染ファイルでバックアップが上書きされることを阻止できる。
とか、侵入される前提の対策はあると思うんだよね。 >>145
派遣会社ごとのIDだった病院を俺は知ってる
今どう成ってるかは知らんけど >>142
加齢による不正脈とか人間は常に同じ状態とは限らない。
気圧によって頭痛や目が見づらい事もある。 弊社のVPNはユーザー名、パスワードに加えて
IMEI番号とマックアドレスも登録されてるから
社外ネットワークから侵入するのは無理ですね 日本の大手SIerって品質が中小企業と変わらないのでは? >>142
静脈用のセンサーって重くて高くないですか?
大病院だと数百台とか必要になりますし >>71
ベンダーが仕掛けるバックドアとか。
ソニータイマー的な事もできるやん。
技術者が突破できない事なんて無い。 >>151
静脈認証が通らなくなったらはやく病院に池! >>146
医学専門分野は詳しいが専門外はからっきしダメでしょ。 >>153
受注は大企業がしてるけど中身は中小企業の人たちが作ってるんだもん >>134
読み違えしてたわ。そっちが正しいと思う。すみません >>160
それなら伝言ゲームになる大手のほうが品質が低いのでは? >>1
これは病院責めるのは酷。
病院だってNECに任せとけばすべて安心って思うに決まってるだろ >>156
本体のシステムより高くは無いでしょ
非接触だから清潔だし >>153
変わらんどころかどんどん酷くなってるよ
機器連携ですらも昔は仕様書渡したら
合わせてくれてたのに今はコストダウンでパッケージ売しかしませんから機器が合わせてくださいって言われてる
仕方ないから中小のソフト会社に頼んで中間プログラム作ってくれる会社を入れてるからコストが別にかかってエンドユーザーからしたらコストダウンの恩恵無いし >>152
中のPCのコントロール奪われたら意味ないぞ >>163
大正解
ちなみにコミュニケーションコストが無駄にかかるので費用も高くなります >>149
バックアップの仕組みは初期構築で用意はされるけど、リストアテストで問題なく戻る事を確認しない事もある。
年数たてばじつはバックアップ取れてませんでした、有効なバックアップが存在しません、ってのはよくある話。 >>164
病院スタッフも使い回しの認証でPC使ってますよ^ ^ >>134
個人用端末じゃなくて共用端末なんでしょう
そしてそれを色んな人が入れ代わり立ち代わり触っているんでしょう
共通PCを個人用IDでなくAdmin等のIDでログインしていたのでしょう
共用PCを端末別IDにすると覚えられないので共通のIDにしていたのでしょう >>159
妻が病院で働いてたけど
ウィルスまみれのUSBを持ち帰ってきた事があったな
誰一人気付かなかったし業者すら気付かなかったらしい >>166
今に限った話じゃないけど、大手はハードもソフトも自社製を持ってるから、それをネジ込んでくるのよね。
フィットしていなかろうと他所に優れたものがあろうと。
客のことなんて考えてないぞあいつら。 >>152
IMEI, MACは書き換えられるし、ID/Passも容易に入手できる。新幹線や航空機でPC使ってる人の画面や操作丸見えだから、簡単に入手できるよ。
だいたいセキュリティ意識低いからw >>165
電子カルテの端末はノートPCや
PDAもあるんですよ
電源が持ちますかね? 医療従事者は医者も含めてIT音痴だらけだからな
患者データ持ち帰りとか当たり前の世界だぞ >>128
改ざんできないシステムは「使い勝手が悪い」から嫌なんだろ
よくある話 >>164
運用設計やセキュリティ診断は別料金で請てないんだろうね。システム入れてなんとなく動き出したら知らんがな、がベンダーの立場。
お金積んでお願いされれば話は聞いてもらえる。 >>176
多分クライアント証明書使って認証かけてるSSL-VPNの話でしょ 瑕疵があったなら懲罰的制裁を下し、会社が消えて無くなるような打撃を与えるべき >>169
あるあるだね。
直接的な復元以外に、アナログの道も必要かもね。
毎晩全部のカルテを PDF 出力しておくとか。
ランサムウェアにやられたら紙運用しながらせっせと打ち直す。 NEC MegaOakIBARS
富士通 HOPE
病院に入ってるシステムはこのどちらか >>171
その運用だとセキュリティ監査してたら絶対ひっかかるのにな
もったいない 普通にウィルス対策システムを導入すればいいんじゃねえの、まぁパスワード周りは生体認証にして。 利用者が仕組みを理解してセキュリティ意識高く維持して業務にあたってるなんてのはないからね。
年一で社内セキュリティ教育やってもだいたい寝てるやろ。 >>176
ほとんどの人がポストに鍵を隠しているときに、わざわざピッキングの手間をかける泥棒はいない
世間のセキュリティー意識が低いことは自分の家が被害を受ける機会を減らすんですよ
……まあ、誰かの恨みを買っていた場合はその限りではないけど >>178
それだけを安くしてもらっても
新たな機器に入れ替えるコストだとか
そもそもA社の電子カルテにB社の静脈センサーを
取り付けられるか病院には判断できないですし >>170
それも含めてでしょ
NECに使いまわしはだめって言われてなかったら
使いまわししても安心って思うのは当然だろ >>174
大手がハードもソフトも自社で抱えてるのは保証をつける為であって
よく知らんメーカーの機器を勝手に使ってそこが原因で問題起きたら自分で直せるの?って話じゃね >>187
電カル動かしてるOSはWindowsだぞ
ハッキングやウイルスでのクラッキングじゃなくてID漏れ侵入 個人情報を扱わない企業でも最低限誰がいつどの情報にアクセスしたか分かるようにログをとっているもんだが
病院ドラマでは毎回IDとパスワード入力してて研修医の権限では詳細が見れないとやってたのに
あれは嘘だったんだな >>187
>>193
基本情報技術者試験に出てきそうな問題だなw アクセスする端末のIPやMACアドレスも判定すれば防げるのに何故しないの? >>184
そういうのも含めてBCPをちゃんとやってあればいいんだけどいざと言う時の為に金や時間は使わないからね。
電源喪失、建物倒壊、津波、震災、職員大量離職、院長死亡、ITシステム停止〜短期/中長期利用不可、こういった事にどう対応するのかいきあたりばったりでしょ。 >>187
ウイルス対策って院内感染も防げないのに? なぜスマホでログインにしない?
NECって馬鹿なの? 定期的にパスワード変えるという文化作ったやつが悪い >>194
いやそういう風に設計して構築したとしても
現場の意識が低くて楽であることが最優先だと全てが無駄になるw
結局安全性と利便性は相反するから >>44
紙に書いて厳重管理か
パスワード管理アプリ使用 >>201
なぜ個人のスマホを仕事で使ってやらにゃいかんのさ 俺ですらPHPのプロガラミンでワードプレスに実装できるのに・・・ >>194
弊社はActive Directoryで管理してますよ >>205
紙⇒写し間違いで終わる ドラクエ2並み
アプリ⇒データのネット流失で終わる クラック自体は数分で出来る サーバのAdmin用ID、PWをどうするかは悩ましい問題
大量のサーバを管理しているところでサーバ別に独自のIDとPWを設定するといちいち覚えていられないから 俺も取引先のサーバーがこれで全部ぶっ飛んで、それを機会に取引切られて年商2000万円失った
セキュリティは俺の責任ではないのにw
泣きたいw だから、量子コンピュータに身代金ウイルスの暗号解除させてみろって >>10
モニターの側面貼ってるけど、そこに座られた時点でもう終わってるから関係ない >>194
とある電子カルテではVIP患者の設定があって
特定の患者のカルテは特定のスタッフしか
アクセスできないというのはあるそうです >>201
まだ院内の連絡にはPHS使ってるのに? >>185
そのあたりが大手な感じあるけど、確かシャープ・IBM・日立あたりの電子カルテシステムもあったはず
10年以上前の記憶だけど
あと中小企業で、大手のシステムと連携して動作する電子カルテをリリースしてるところもあった >>196
今回の件だとVPN装置が脆弱性突かれて乗っ取られてる
で、その装置踏み台にして他のシステムに総当たり攻撃かけてるからその対策だと微妙かも >>219
もう今はスマホですよ
新しいPHS買えないから VPNってアホがいたら中で好き放題できる仕様になってたりしてて全く信用できねえ >>224
バックアップは取れてませんでした(客先で担当者から聞いた事ある言葉 パスワードって使いまわしもメモも不可って
これをちゃんと守ることができている人いるの? 病気してて通院してる病院だったら困るけど、ハナホジ案件だわ >>191
病院はNECの子会社か何かなのかw
構築とポリシー作りは別物 紙でやってたときにパスワードなきゃ見れなかったのかよ >>236
だよな・・・
TXTにメモってもダメ、紙に書いてもダメって
そりゃ使いまわさないと何10個も複雑なパスワード覚えられるわけがない。
これを叩くメディア多いけど、メディア関係者は同じ事できるのだろうか? 他社のシステム導入やっちゃった話は楽しいね!
個人情報漏洩、システムダウン、システム導入での訴訟合戦とか 随分前に退職した病院にいまだにログインできるわ
記録が残るかもしれんからやらんけど サーバのバックアップ対策を真面目にやっていたら
ここまで長期化しなかったわね
最近、テープバックアップが再評価されとるらしいが >>27
厚労省のガイドラインでパスワードを定期的に変更するよう書かれてるけど、記憶し直せる単純なパスワードより、簡単には覚えられないような長く複雑で他から類推できないパスワードに固定する方が安全じゃないのかな
そんな報告も見た気がする もう固定パスワードやめて全部ワンタイムパスワードにしようよ >>242
就職かな。
企業の人事担当者が一番欲しい情報。 >>42
資産を動かす時くらいでいいよな
インターネットバンキングとかネット証券とか サーバ運用系スクリプトは昔からパスワード埋込ですよ。 >>242
あと、結婚。
既往歴がばれたら、どんなやつかにもよるが
就職と結婚に大きく影響がでる。
はっきり言うと結婚もできなくなり、まともな会社に就職もできなくなる。 >>26
コイツがいなくなっても後任も似たか寄ったかの無能しかいない NECは昔から生体認証やってるんだから病院が導入ケチっただけでしょ 案件にセキュリティのヤツを連れて行くとヤヤコシイねん
アイツら空気読まない原理主義者やし
望まれてないモノを上から目線で押し付ける >>215
お金持ちの私立医大病院だったんですが
電子カルテの導入で税金の補助とか受けて
簡単に買い替えとかできないみたいでしたし
システムを入れ替えるタイミングじゃないと
難しいんじゃないですか? >>212
>アプリ⇒データのネット流失で終わる クラック自体は数分で出来る
1Password「やれるもんならやってみな」
KEEPER「」 >>24
うん、それは85%の企業で用いられています 転職板の院内SEとか誰もやりたがらない下っ端扱いだしな
病院はこの時代にITリテラシー低すぎて全然だめ >>198
>>199
素人にゃそれぐらいしか思いつかないんだから、YOUたちパソコンの大先生が完璧な対策を提案・導入してやってくれよ。期待してるぜ。 >>264
日本は縁の下の力持ちが無能扱いされるからな >>212
使い回すより被害小さい
ネットに流出しないようにデータはネットに繋がない場所においている
流出心配なら紙に書いて管理がいいと専門家も推進
タイプミスしたことないけど
突破されるから2段階が必要なのにマイナポータルにはないというね >>264
院内SEとか年収2000万円くらい貰えるんでないの?? マイナンバーの顔情報の根幹の部分はNECと違う?
信頼感失ったら終わりやろ >>263
admiN2! にしてやったぜ(ドヤァ
客先の実話w さすがにバックアップあるんだろ
全部そっくりやられたわけじゃないよね? >>268
病院によりピンキリだろうね
外部からSE派遣で院内に常駐してもらってるなんてとこもあった >>252
弊社では暗号化してますよ
saのパスワードは数人の管理者しかわからない zipみたいに2byteが使えたら少なくとも総当たりで突破できないのにな
なんでパスワードって1byteにしたがるのか 病院の電子カルテシステムに生体認証導入は無理だと思う。
単発で当直バイトにくる医師の認証データの登録、どうすんの?
都度、情報システム担当者にお付き合いで出勤してもらうの?
じゃあ、必ずいるであろう事務当直にその手順を教えて権限与える?
そいつらもバイトだったりするんだけど、いいの? これは大事なんですが
医療従事者がログインできないとか
パスワード忘れたというのは
電子カルテの管理者が助けられるんですが
管理者自身がサーバーにログインできないとか
パスワード忘れたっていうのは誰も助けられない
夜間や休日は管理者1人で対応してましたからね 大手ならADでアカウントは一元管理は当たり前だから、管理者アカウントバレちゃったらサーバーが一気にやられるのは当然でしょ、管理者アカウントを他のお客様で使いまわししてるとヤバイがさすがにそれはないでしょ >>268
金稼いでるのは執刀医で数千万〜
事務系スタッフはコストセンターで一般事務職レベル。 >>268
ねーよw
勤務医ですら年収1000万ちょいなのに >>62
北米であったけど、小型ドローンで侵入され、デスク周りのID/PASSメモを収集されるパターンがある NECって昔からパスワード緩いよね
PCにパスワード貼ってあったりしたし >>242
大半の人はバレて困る既往歴なんて持ってないから情報垂れ流しでもぉKでしょ
そんな人たちが騒いでるのがおかしい。
「なんでもかんでも守ろうとするのはなにも守らないのといっしょ」
本当に必要なところにリソースを集中するセキュリティーの第一歩は守るべき情報を限定すること
バレて困る患者さんだけ厳重に管理して差し上げれば病院の負担も減ってwin-winでしょ。
もちろんその場合の個人情報管理料金はいただきますけど >>279
え?そんなに医者の給料少ないの??
難関大学卒業して6年も学んだのに??
俺と変わらんじゃん。。 >>275
事務当直が後期高齢者の病院知ってる
後期高齢者が救急車の電話取っててマジビビった
因みに全然仕事できてない
そのうち人殺すと思う >>275
登録すりゃいいだけ
登録なんてすぐできるよ ちゃんとしたパスワード管理アプリならパスワードが暗号化されているから流出してもすぐには分からないはず
絶対じゃないが
被害にあっているのはフィッシングで引っ掛かって自分で入力たケースだよな >>283
普通に考えて困るのは既往歴がバレることじゃなくて暗号化されてカルテが見れないことじゃないの??? >>225
大手のシステム入れる規模の病院だと中途半端な知識で無駄にプライド高い医師や職員が居て面倒な事もあったな
パスワードの使い回し禁止とか導入時に散々言っても規模の小さい総合病院とかだと管理責任者のレベルが低い所もあるからね >>212
アプリの良いところは保管データはマスターパスワードで暗号化されてるデータでしかないから漏れても使われないことよ
マスターパスワードを簡単なものにしてたら総当たりで破られる可能性はあるが >>277
ユーザーパスが創立記念日、管理者パスが創立年+創立記念日で生徒にシステム乗っ取られた学校があるぞ 認証のあるシステムを納品しても納品時の設定を変える人はほぼ居ないよね >>284
だから休日夜間は他の病院の当直バイトをしたり、それこそコロナワクチン接種のバイトに行ったりする 医者は独立してようやく2000万くらいになれる
産科医だとまともに休み取れないからそのくらい貰ってもいいとは思う >>268
病院の規模にもよるが院内SEだと400万ぐらいだろ >>278
>>279
病院は1人月百万円払っていると嫌みを言われたんですが
私は孫請けの会社に派遣されていたので
実際は月20万円ももらっていなかったんですよね >>292
数字だけって時点で終わってるw
何回かパスワードを間違えると一定時間ロックアウトする仕組みを入れとけば大分変わるのにね。 責任重く人間性求められる医師はやりたくないわ
カネじゃねえんだ >>274
だいぶ昔だけど、マルチバイト可にしてたら文字コードの処理が大変なことになってたところがあったな
許容はutf8なのにsjisでぶち込まれてた、とか
あと日本語使うとみんな普通に文章や名前とかを設定しちゃって、却って類推されやすくなってた 医療脳とITって実は全く親和性がないんだよ
PCのセキュリティに気を配ってるヒマに患者さんのケアに気を取られてっから サイバー攻撃を防ぐのは無理
高機能なバックアップシステムを構築するしかない そう言えばID連番に成ってるわ
パスワードは個人個人で勝手に入れてるけど
因みに富士通HOPEだけど医事システムの方はパスワードも通達されたもので固定 >>297
中抜きされないような働き方にする事だな。 >>289
現実ではランサムウェアでカルテが暗号化されるよりサーバーが壊れる頻度の方がずっと高い
つまり>>1はパスワードじゃなくてバックアップの問題なんですよ 派遣会社に月100万円くらい払って派遣SEさん雇ってるけど
その派遣さんはいくら位貰えるんだろうな
50万円くらいかな >>284
そう
だからそういうところにあんたの命は預けないことや セキュリティ厳重にするには結局アナログしなきゃならないのほんま草 >>308
ちゃんとした派遣なら中抜きは2割から3割くらい >>308
人によるけどそんなにもらえないと思うよ。
正社員なら普通のサラリーマン並。
派遣社員は間に何社あるかによって変わってくる。 >>311
ちゃんとした元請け三割、二次受け三割、孫受け三割
0.7x0.7x0.7=0.343 >>297
3割抜いて丸投げが普通やからな。
20万貰ってるなら会社の取り分20だな。
発注元100で発注、1次請30抜いて70で丸投げ、2次請30抜いて40で丸投げ、3次請20抜いて給料20 >>304
中抜きする業界は最初から中抜き以外は
入り込めないシステムみたいですね
広告代理店とかも必ず某社を通さないと
仕事を干されるとかって話もありますし >>311
じゃあ70万円とか80万円か
結構貰えるな >>274
システムによるだろ。
マルチバイトID/PASS使えるシステムもあるから >>139
袋叩きすれば解決するのはご気楽ですな
しっかり二要素認証しましょう >>318
派遣社員は派遣会社に直接雇用とかされてるわけないので >>318
上に散々書かれてるが、間に一社も入っていなければなw
だから俺は一次請けの案件しかやらない >>308
貰える訳無いじゃん。
最後の引き受け会社は契約社員にすると、年金半分会社払うし、給与計算諸々で受け金額の半分は会社。
50だったら、25よりずっと少ない。 パスワードに漢字とひらがなカタカナ使えるようにしろ
日本だけぶっちぎりでセキュアになる マイナンバーカードはあなたの意思で作ったんですよね?
あなたが作ったんですよ
責任転嫁しないでください
河野太郎 >>324
病院内ではマスクをはずさないでください トヨタだって存在意義のないトヨタシステムズみたいなスルー会社通さないと外注出さないしw
世の中そういうもんや。 >>325
まともな派遣は、年金、事務費、利益を全部乗っけて2割から3割、だから高単価しか扱わない、というか高単価しか扱えない、か
5割抜くとかもうヤクザだよ、それw
まあ、そんなんばっかりだけどなw >>310
インターネットと相性が悪い
そしてマイナ保険証で強制オンラインや >>242
告知義務違反で保険金支払い拒否したりできる デジタルはこれがあるから怖いのよ
一人の天才と一人の間抜けによって全てが瓦解する
アナログで固めたら天才には介入できない環境になるから安定するのに 5次請やった事あるが、
トヨタ120
トヨタ子会社100 丸投げで20利益
日立 80丸投げで10利益
日立子会社70 丸投げで10利益
X社 60 丸投げで10利益
これでも月60、年720ならいいやろって言われたがもうアホかと! >>337
客は当たり前だが120の対応を求めるから地獄の案件になるのよなw 違うID、PWにすると忘れるから紙に書いておくことがよくあるけど、実はハッカーにはその紙は見れない訳だから、サーバールームの入室管理をきちんとしていれば、使い回すより安全かもしれない。 もういい加減アカウント管理をユーザーに押し付けるのやめろや >>339
たとえ管理者でもサーバールームに人が入っちゃいやん >>212
紙で写し間違い?
いや、プリントアウトしとけよ >>340
お前の指紋と声紋と静脈と虹彩を登録して頂こうか
うん、大丈夫、あとはこっちで良いようにするから、安心だよ?w NEC「見るのでIDとPASSを教えて下さい」
病院「何それ?」
NEC「えー😱」 >>338
業務内容と金額アンマッチが多いね。
その金額でいい人は絶対来ないと思うけど。 今どきIDカードで入室管理してるんだからIDカードでのログインにスレばいいやん SaaSだからパスワード書いた紙を貼っておくサーバールームがありません>< どうせスイッチングハブも
manager
friend
で入れるんだろw >>341
サーバー室でバックアップのテープを交換したり
UPSの警報を止めたり、加湿器に水を入れたり
やることはあるんですよ >>346
そこであわてず騒がすスマートにUbuntu入りUSBでサーバー起動してファイルのお触りし放題と言うのは内緒ですよ? >>333
まあまともな派遣会社なら100万のうち
最低50万円くらいは貰えるってことかな
派遣でもIT系なら結構貰えるんだな。。 >>2
にんげんだもの
人類滅亡までついて回る問題だな >>357
まともな一次派遣なら、100の案件で額面で80から70だよ
じゃないとまともな奴が来ない 総合病院でSEやってたが
高齢の医師が病院のPCにfirefox入れてた
好奇心だけではない、強さを感じた… 超高齢化社会だから仕方ないとはいえ遅れすぎ
追い付く見込みもない 外からログインできるようにしておいて病院が知らなかったのなら
国産のバックドアだね 大部屋に詰め込まれた透析患者
寝たきりでミイラみたいになった高齢者達
科学技術に予算が回せる余裕無いわな >>10
それ愚の骨頂
俺は覚えやすくて誰にも
誰も想像出来ないIDとパスワードにしてる
SE◯とかCHNP◯とかMANK◯とか 今や常識なのに、NECレベルで二段階認証すらしてないのか?ひでぇ。w うちの地元の場合
元請け:全国系IT大手
一次:全国系IT派遣
二次:地元大手事務機屋
三次:地元中小電設屋
どこに頼んでも同じ作業服の人が来る アプリでもウェブでも
とにかくアイパス多過ぎで忘れるだろ。 電子カルテと言っても、薬剤部や放射線部は
別のメーカーの部門システムになっている
電子カルテのサーバーは部門システムの
サーバーとデータをやり取りしている
電子カルテの管理者は部門システムを
いじれないので、勝手に設定を変えて
データが飛ばなくなっては困るので
初期設定のまま、できるだけ触りたくない >>10
1) 覚えやすくずっと同じパスワード、記憶の中だけに保管
2) 機械的に作成した長いパスワード、覚えられないのでマシンの脇に物理的なメモ
どっちがセキュリティが高いのだろうね? ていうかIDとパスワードを使った認証自体が最初からダメだろ
昔は技術的にしょうがない部分もあったが今なら他の手段がいくらでもあるのに >>376
普通に考えてそういう話がなかったはずは絶対にないだろうけど
結局導入するかどうか決めるのはユーザーだから >>1
( ゚⊿゚) 。oO( NEC は ACアダプターのプラグが独自仕様だから嫌い。 >>4
クマに乗ったマッチョ大統領サマがやっつけるんだな
かっこいいいwww >>369
そんな有名な言葉はダメだな
辞書に絶対に載ってない単語じゃないとダメ >>1
Λ_Λ
<`∀´r >-、 証券業界のセキュリティーは、レベル高いですニダ~♪
,(mソ)ヽ i
__/ / ヽ. ヽ l
(_.ノ  ̄ ヽ、_ノ ̄ ̄ ̄ 正直言ってこれはどうしようも無いと思う。IDとかパスワードを変えたら
他の何かが動かなくなる可能性が極めて高い。なので当然テストをしなければ
いけないが、すでに本番環境で動いているからパスワード変更テストは不可能に近い。 >>274
どのキーボードでも打てることが望ましいし、かな漢には学習の問題もあるし、Unicodeについては正規化の問題もあるし、マルチバイトで言葉にならないキーワードを入力するのは面倒だから類推されやすい言葉を使いがちになるし、
あんまりいいこと無いから。 >次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていた
これってカルテシステムじゃなくて、Windows OSの話だよね。アプリレベルでの
管理者IDとパスワードがあったところで、できるのはデータの破壊だけだ。
ウイルス感染なんてできない。違うのかな。 日本人にシステム開発運用は無理だと思う
基礎的能力が欠如しているとしか思えない >半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。
使いまわしを指示した幹部と責任者を逮捕して危機感持ってもらわないと
使いまわしはこれからもなくならないぞ イントラネットにしてしまって外部からのアクセスを一切禁止したらええねん
インターネットにアクセスしたけりゃ別端末からやればええんや(暴言 >>274
特殊文字も使えるようになり脆弱が増えるから >>44
大元のパスワードを決めておいて
そのパスワードの5文字目を使いたいサービスの頭文字に変えてる もう機械化省力化に人間がついていけないことを認めろよと
能力の問題ではなく倫理で人間は機械に劣るのだと これでコロナワクチンテロのカルテ情報がアメリカ様へ漏れていてもおかしくは無くなったな
良い仕事をしたのでは? >>375
覚えやすくて長いパスワードを頭の中に記憶してください >>387
ウイルスに感染したファイルが
共有フォルダ経由とかで拡散したのでは?
サーバーの共有フォルダにアクセスするに
共通のIDとパスワードを使い回すのは
普通あり得ることでしょう >>168
∧_∧
( ´・ω・`) 日本って、悲しいね・・・
/ IT音痴なのに証券取引所のシステムは作れる不思議🤔
たまに障害起きるけど
どこが作ってんだ? >>399
VPN装置の脆弱性突かれてVPN装置乗っ取られてそこから内部のサーバーにRDP総当たりで侵入されて管理者権限でサーバー動かされてるので感染したファイルがどうこうって話ではないよ 悪いやついなけりゃ世の中はもっと豊かになるんだろうけどなあ まあ大阪の病院の場合はNECがーってより保守費用払ってファームの更新しとけやって話じゃなかったか >>367
紙テープもいいな
ウルトラ警備隊はすらすら読んでいたし >>407
ちなみに管理者権限取られててアンチウィルス系全部切られてたのは会見で話してた >>405
そもそも進入口のVPN装置はベルキッチンっていう給食業者が用意してたやつ
それ乗っ取られてって他のシステムも次々にって感じ パスワードを暗記しろっていうシステムデザインがもう終わってる 大阪府の入札のサイト
https://www.e-nyusatsu.pref.osaka.jp/CALS/Publish/EbController?Shori=KokokuInfo
ここ見ると大阪府の調達するシステムの契約書や仕様書が見られる訳だが
NECにハードウェアやソフトウェアがベンダーロックインされてる上にOSやミドルウェアのサポートが契約期間中に切れるリースがいくつかあるね
ここの病院と似たようなものだろうね
今さらWindows10やWindows Server2016,2019を入れて5,6年とか12年とか使って大丈夫なの?
マイクロソフトのサポート切れちゃうけど
NECがアップデートするのかなあ
この辺のお役所仕事は維新の会とか政治家の目には入らないのかねえ ていうか、別々のIDとパスワードとか覚えれるわけねーじゃん
自分の生活で使ってるIDとパスワードも覚えなきゃいけないんだぞ
もう生体認証にしろよ >>409
納品時の初期パスワードだな。
そのまま運用。 裸のセキュリティシステムワロタ
システム構築費返金しないとあかんね >>402
リモートデスクトップで、管理者権限でOSにログインされたら
電子カルテのIDとパスワードなんてなんの関係もないな。そりゃ
変えたほうがいいけれど、ランサムウェアの侵入者は興味ないと思うわ。 ここも半田病院も同じVPNのFortigate使ってた
Fortigateの認証情報リスト(顧客リストみたいなもの)が2021年に漏洩してた
そしてFortigateの古いバージョンには脆弱性があった
なので完全に狙い撃ちされてる >>401
全銀とか国立国会図書館とかみずほとかクソシステムは多い >>418
ここで使いまわれてたIDとパスワードって電子カルテのOSの管理者アカウントの話だと思う >>419
∧__∧
<丶`∀´> n 顧客リスト なら、任せとく ニダ~♪
γ ⌒ `γ´⌒`ヽ( E)
ノ 人 。 人 。人 γ .ノ
/ i(こ/こ/' `^´
}に/こ( >>410
ランサムウェアがーって言うより
酷くないですか
患者のカルテが流出しているかも? どこからのサイバー攻撃だったの?泣き寝入りするだけだろ >>421
なるほど。でも実際のところ、サーバーOSごとにパスワードを変えるなんて
やらない(システム管理者ユーザーアカウントのパスワードは同じ)だから
どう対処するんだろうな。
リモートデスクトップで管理者権限で入られたら、誰にもどうする事もできんぞ。 >>8
医療事務はITパスポートも無い
コネで女ばかり雇うし 仕事はバカでも無能でも気に入られたら貰えるからな
それがじゃっぷの民度だから 半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態 これが日本政府の推す「DX」だ!
マイナカードには気をつけろ! たしかNECのパッケージでPPAP実装してるものがあると聞いたことがある
パスワードをメールで送るのおかしいから教科書で取り上げるのやめたらと言ったらNECのパッケージでも使ってるから問題ないと返された
こういうところが遠因じゃないのかな
誰かがおかしいと言っても何も考えないで問題ないと言い張る人たち >>411
一つのネットワークに
複数の異なるシステムが繋がっていると
セキュリティの弱い所が突破口になりますね 昔、病院のとあるシステムの開発やってたが、バグだらけだったな
しかも当時は脆弱性対策もしてなかったから、今もやってないなら、
変なデータ送りまくったらバッファオーバーランとか普通に起きそうだ >>423
可能性はあるけどまともな攻撃元なら暗号化しただけだと思う >>426
普通に動くサービス毎に管理者アカウント用意してパスワードも変えるよ? 倉庫作業の派遣なのにパソコンと小さなスマホくらいの持たされて自分だけのパスワードでやる流れ作業を時給850円くらいでやらされてたな。 >>436
NEC本体がやってればそうだろうね
こういうの下請に丸投げの場合があるんだよ
ユニシスのなれのはての会社でもそうだったろ
多重請負で丸投げされたらどんな品質になるかわかんない
レビューでチェックしてればいいけどそれもザルだったかやってないかどっちか
竹中さんありがとうございます _ ___
/ Y \
/ /\ ヘ
| / \_ |
|.丿=- -= ヽ.| いいってことよ ・・・
Y ノ ・ ) ・ ヽ V
{ (。_。) ノ
ヽ /__ヽ /
\ ___./
_(. :つ/ ̄ ̄ ̄/__
\./ >>440/ \
 ̄ ̄ ̄ >>434
攻撃者の良心に期待ですか
実に心強いお言葉です これはまたうちで使ってるNECのブラザーのOEMのプリンタの
型番に文句つけられてるな そういやNECはロシアに事業所あったよね・・・
子会社だっけ?まだあるのかな あったなあ俺の現場でも・・・
システムの名前がパスワードだったw
アホかと まーたラクダ在原の不正アクセスにネットストーカーか
見知らぬ相手を20年つけ回す異常者だからな >>448
おまえがやってんだろ、ロシア人資源天然ガス利権がらみで >>419
fortiの脆弱性はメーカーも散々周知してるのにね。対応しない方が問題。 >>451
誰にパスワードを管理する責任があるか納入契約書には書かれていませんでした
つまり、誰も悪くありません ベンダーは納品時点の構成しか保証しないシステムを改めないとこの手の事故はなくならない。
脆弱性パッチぐらいは適用しても問題ないと思うんだけどね。 強いて言えばカルテの内容が守られるべきもの
と勝手に思い込んでいる患者さんが悪い >>9
頼みの その医療内需も
汚職と壺バレで
パアですよ(笑) 昔は暗証番号いれるのは0000だった 購入者が変えないとそのまんま >>254
新卒で就職活動してて家族や親族の病気書かせるのがあったがあれ落とすためなんだってね
親族に難病者、糖尿病、ガン、介護者がいたら不採用みたいなんだと
ウソついて何も書かないのが正解らしい
虚偽で書いても不採用にできないから
外資系はなくて国内大手が一律でそういうことやってた >>456
カルト宗教の大本のウンコリアンと寄生虫在日ウンコリアンを叩き出せと言ってるのか
俺も賛成だわ
どうせならウンコリアンと一体化してる狂産とか立件脱糞逃を叩き潰さんとな
「在日本朝鮮人連盟」と一体化していた日本共産党 活動資金、人的ネットワークをカバー
5/7(土) 5:56配信 デイリー新潮
https://www.dailyshincho.jp/article/2022/05070556/?all=1
「左翼的運動は、その半分を朝鮮人によって担われていた」
「朝鮮人ぬきで地方での日本共産党の活動は考えられないものがあった」 >>281
そもそも物理的セキュリティが駄目じゃね? >>454
うちはFWのパッチガンガン当ててるけど
問題出たことないよ
問題でそうなところは日本語ドキュメントくれるし >>458
防衛省がらみのシステム開発に参加した人から、本人はおろか家族にまで身辺調査があったとか聞いたことがある( ;´・ω・`) 病院の端末の100台くらいの設定変更を人力でする
って作業に打ち込まれたことあるけど、
すべての端末のIDパスワードが同じだったよ
これ、関係者が忍び込んだら情報抜き放題じゃんと思った >>451
メーカーなら 故障や請負い先
契約上での対処は知ってますよ >>8
サーバー置くレベルの大病院では医療従事者の仕事じゃなく病院事務の仕事 >>459
アメさんが モロ
医療機関も監視中なんだよ
で、バレてしまった。とw どうしても古いソフトウェアが必要で
新しいOSに乗り換えできないとか
そういう職場は少なからずあるでしょうから
みんなセキュリティホールを残したまま
誤魔化しながら使っているんでしょうね 日本の大学内部と
医療機関は
アメさんとこが視てるんで もう逃げられん
警告も数年前から入ってたしな
向こうは防衛がらみなんで本気だしな IDパスワード共用はまあ共同利用だからしゃーないだろな
俺も社内SEやってるから権限、エンドポイント、端末監視ソフトこの辺どうなってるのか気になるな >>467
道具だけど
IT使用者は 重要取引先との対応ぐらいはわかるでしょ?
防衛システムがらみだから 日本で PC使って仕事する人らにはオオゴトだし IT弱国の日本
ITを導入すればするほど酷いことになっていく
というか医療と密接に紐付けするマイナンバーカードもやばそうだな まあ、なにがどうあれウイルスに感染して使えなくなっているなら紙のカルテを使うわな
そこのところ、そもそも紙のカルテを使わせろの話しだけ表に出るのは裏があったということですわ
電子カルテのことは口外するなと口封じをしてたってか NECって何をやらせてもダメだね
昔は世界のNECだったのに、今じゃ糞
中国製の方が信用できる >>469
だからカルト宗教の大本のウンコリアンと寄生虫在日ウンコリアンを叩き出せと言ってるんだろ?
俺も賛成だわ
どうせならウンコリアンと一体化してる狂産とか立件脱糞逃を叩き潰さんとな
「在日本朝鮮人連盟」と一体化していた日本共産党 活動資金、人的ネットワークをカバー
5/7(土) 5:56配信 デイリー新潮
https://www.dailyshincho.jp/article/2022/05070556/?all=1
「左翼的運動は、その半分を朝鮮人によって担われていた」
「朝鮮人ぬきで地方での日本共産党の活動は考えられないものがあった」 IDとパスの管理が面倒くさすぎる
個人でもメモが火事で燃えたら絶望するレベル
googleアカウントがBANになったら連鎖的に使えなくなる
この問題はどうにか解決できないのか? >>467
うろ覚えだけど
電子カルテの運用に求められるセキュリティ指針だかガイドラインだかで、医療情報の改竄が行われてないことや、必要に応じ速やかに取り出せる状態になっていることなどが要件になってたはず
なので、実際に運用してるとこはもちろんなけど、メーカーも無関係じゃないよ パスワードの使いまわしは止めれたけど、二重認証みたいなのがキツい
昔決めた「好きな食べ物は?」の答えが分からなくなって困ってる あれ裏を返せばパスワード分からなくても当てずっぽうで好きな食べ物入力すれば破れるってことでもあるからね >>484
そのクイズも何通りか選べたりするけど、ちょうどいいのが無くて困る。
問題まで自分で入力させてくれればいいんだが、誰にでも解ける問題を入れるバカがいることを考えるとそれも難しそうなんだよな。 Internet Explorerベース?の電子カルテ
構造が複雑でとにかく分かりづらかった >>21
何でパスワード認証なんだよ。
他にもあるだろう >>484
母親の旧姓は?…シンママ家庭なんだが
夫婦で最初のデートはどこ行った?….未婚なんだが
小学校の時の担任は?….不登校児だった >>484
俺が実際にやっていること。
好きな食べ物は?食べ物うんこ
小学校の時の担任は?担任うんこ
初めて観た映画は?映画うんこ
これで問題ない。「うんこ」だけだと叱られる。 >>8
規模が小さいから。医療機関は大企業がなく大手の医療法人でも中小企業クラスの規模。
IT構築とかも各病院がバラバラにやってて、中に詳しい人もいないのでベンダー任せ。
自治体、飲食店、学校などがIT弱いのも同じ理由。 >>487
どこかで見たなー、IEコンポーネントの電カル
たしかツリー構造にしてゴチャゴチャ色んなもの詰め込んでたせいで、ビジュアル的にどこになにがあるか分かりづらかった アルカリの強い洗剤を素手で扱った後に指紋認証でエラー出て焦った事がある(´・ω・`) 指紋シール作っとけば
アルカリで指紋溶けても大丈夫 風呂上がりにふやけた指紋認証でエラー出て焦った事がある(´・ω・`) 顔認証でひょっとこの顔して画面覗いたら解除できた
俺の顔って0 使う側の人間に問題があるとしても、NECっていう時点でシステム側を疑うわ 1passwordでランダムパスワード作って管理してるけど
あれは悪魔の契約みたいなもんで、一生サブスクしなきゃならない。
しかも世界はインフレ中なので、値上げ避けられない。
で、1passwordにログインするためにパスワードを入れるわけだが
それを他人に見られたら「宝の山」だろう。 公立病院だと尚更予算は限られるだろうし
NECの持ち出しで他の部門の
セキュリティ対策はできないだろうし難しいね 「コンピュータの引っ越し(日経BP出版センター、1995年初版)」という書籍の中のおもしろい一節を思い出しました。
IBMのサーバーを使っていたAGF(味の素ゼネラルフーズ)のコンピュータシステムの監査にAGFの親会社であるフィリップ・モリスから派遣されたエンジニアがやってきた。
AGFのシステム管理用のIDとパスワードを知るはずのないエンジニアがいともあっさりと最高権限でアクセスできてしまった。
実は、システムの導入やメンテナンス用のID:MAINTとPASS:IBMSEがあり、誰でも購入できるマニュアルにも載っていたというもの。
30年近く経ってもまだこんなおバカなことやってたとは! >>504
心配ならクラウドに上げないタイプの無料のやつのデータを自分で管理すればいい
すくなくともデータがあるデバイスでしか見られないから パスワードの使い回しが悪いってマイナンバーカードのディスりか? 医療系あるある
金が有るから管理はベンダー丸投げのお殿様の癖に
個々の個人が何故かデジタルにも強いと勘違いしてるお馬鹿な人が多い
単なるユーザーの域を出て居ないのに
かねがあって機器を買い替えてるだけで専門家ぶった勘違い人が多くて
とても面倒な人が多い NECじゃなくて丸投げ下請けの作業だろ
NECは絶対にこういう現場作業はやらんよ
そういう社風だから だぁ~い問題! カルテは最重要個人情報
先日、電子カルテを全国で共有するという記事があったけど、機能面ても保証面でも、マイナンバーカードよりも高いセキュリティーが必要
まずはPPをどの機能/保証レベルでいつ認証を取るのか宣言すべき > 本部長・岸田さん
で、NECのシステムも認証取ってたんだよね? >>515
∧犬∧
<丶`∀´> 犬HK も、 そんな社風ですニダ~♪
___ (__つ⊂_)_ >>488
IDカード認証とかやりかたはいかようにもあるが、結局モニターの横っちょにカードおきばつけて終わりだし
ITリテラシーやセキリュティが低すぎる現場ではあと10年は変わらんだろ。
レセコンやセキリュティ関係への投資を渋る知識不足なおいぼれ医院長もいらん。 医者のITへの理解のなさは異常
電子カルテの規格統一とか先進国はどこもやってるのにこの国の医者の大半は反対してるしもう終わりだよ >>519
ほんそれな〜
地方で医療限定されてるとか
難病で専門医が居ない所に居る人が大勢居るのに
自分の所に集めて並ばせるのが大好きな人達多すぎ
デジタルの意味分かってないんだろうなぁ
まあ総務省がアレだからセキュリティー意識なんて育つ筈も無いが 「IDとかパスワードとか覚えられん!」
「昔はそんなの必要なかったのに、なんで必要なんだ!全部同じかパスワードはなしにしろ!」
とか情弱ジャップの爺ちゃんたちが騒いだんだろ
特に「お医者様」はプライドだけ無駄に高くて、下請けのへの態度が横柄だからな >>519
日本医師会がオープンソースで何か作ってた記憶あるぞ 会社でもWindowsのパスワードすら覚えられずに間違えまくってロックされてキレてる爺様とかよく見かけるしな
SEですら爺様世代だと、開発環境ごとに違うパスワードを覚えられずに「なんでいつものパスワードで入れないんだ!」とかキレてるアホも偶に居るくらいだし
総じてジャップの平均ITリテラシーが低いんだから、こうなるのはしゃーない パスワードは何か手頃な物体をキーボードに転がしたりして自分の癖が出ない文字列を作成(キーボードはもちろんオフラインのマシン。)それを紙に控える。クソ面倒だけどこれを全てのパスワードで実行。
こんなことしてるけど果たして効果があるのか全くわからない >>524
全く効果ない
20文字くらいの好きな英文をそのままパスワードにしよう 今の病院は電子カルテに依存しすぎなんだよ
あんなもん電気がなくなりゃ動かないんだから災害多い日本にはそもそも向いてない
やはり昔ながらの紙カルテが一番いい >>527
爺ちゃんが知らんだけで、今の病院は普通に非常電源を備えてるぞ
でかい病院なら数日分の非常電源を用意してる NECぐらいのとこなら医者や関係者がマスクしてようがゴーグルしてようが
顔認証や網膜認証する技術を持ってそうだから本気出せば
利用者認証は相当な使い勝手のものができそうだよな
問題はシステム管理用やシステム連携用の認証方式のほうなんだろうけど
構成要素全部がゼロトラストとか信頼できる状態かをリアルタイム判別
できるようになるのにはまだ時間がかかるんだろうな >>525
The quick brown fox jumps over the lazy dog でいきます >>490
そういう環境だと個人情報がバレても質問に対する答えが
推定できないということでむしろ有利と考えることにしましょう >>529
マイナンバーでさえ設備投資渋ってんのに誰が金出すんだ
NECのヘマなのにこれ以上NECを儲けさせるなんて鴨だなあ
NECにこだわらず乗り換えればいい >>364
いやいやいやいや、地頭の良さは必須条件ですわ この手の攻撃って中国からが多いらしいけど、今回はどうなの?
孫請けが中国企業とか? >>525
>>530
MyPasswordsAreAllWeak666@ 病院とかは攻撃しないというポリシーを持ってる連中もいるそうだけど
洗濯屋さんとか食事供給業者とかと連携するようになってくると
そこからたどった「誤爆」も増えそう ロシアンクラッカーは西側諸国の病院を重点的な標的にしてる
報道も出てる
https://jp.reuters.com/article/global-cyber-russia-idJPKBN2UJ1PP
米英、マルウェア「トリックボット」に制裁 ロシア関与の疑い >>144
ありえなくない。どこの病院もリモメンあるよ。徳島の病院がやられたのもそこから。 >>539
コロナ禍で、古いVPN機器が標的になっているよ
https://www.lac.co.jp/lacwatch/report/20200908_002277.html
VPN機器を狙ったサイバー攻撃が継続中!セキュリティ事故を防ぐ3つのポイントとは 運用サービスは契約範囲内で
病院がIT運用を軽視しすぎたのが原因と予想するがどうかな >>521
こんなん指紋認証システ厶で解決する
予算をケチる情弱組織は勝手に死滅しろって感じ
こういう奴等はなぜコンピューターウィルスをそう名付けてるのか今一度考えたほうがいいな これさ、NECって名前だけ取り沙汰されてっけど
システム引き渡し後に適切にパスワードを設定するのは
病院というかユーザー側のタスク責任だよな? >>544
運用に関する契約によるだろ
運用を外注するか自分たちでやるか
多分外注ケチった上に誰も責任持って管理しなかったんだろうと 運用設計、運用定着化、実運用は導入ベンダからもっと単価安い会社に依頼するんだけど病院側が自前でやるところにアドバイザーくらい入れておけばよかったのにね。 日ロ先端医療センター(仮称)プロジェクト
ええええええええええ!国策かよ! >>544
病院に発注者責任はあるが>>1 に設定や管理を任せていたとあるからNECの責任も重大
病院の担当者がNEC以上の知識を持っている訳がないこら少なくとも説明して指示を仰いだりすべきだった
半数以上の他の病院でもそうなら組織的に問題あるのでは? >>547
どことは言わないが、外国人医療研修生は
早出は絶対にしないのに、居残りはするんだよな
しかもピンで 保険請求がオンラインなのか
日本らしくFAXの方が安全だな かといってセキュリティぎっちぎちにして
本当に困ったときにroot の変えたパスワードを誰もわからなくなってると悲惨 >>1
>全国280の大規模病院
そのぐらいの規模なら1人くらいIT責任者がいるだろうに 設定、管理してたNECが同じID,パスワードを使いまわしてたという
アホきわまりない話 >>556
>>546
防災関連の保守にいたことあるけど運用保守はサポセンが窓口で運用監視もそこでやる
しかも30くらいの顧客システムをたった二人で回すとか普通にある
なんかあったら上位のSEに伝えるようになってるけどほぼないんで夜勤は担当者が寝てた
SEも当然複数かけもち
なんで災害や障害が連荘で起きたらパンクして連日徹夜コースだったみたい
人件費として各顧客から保守運用予算を取ってるんなら詐欺行為かも
保守費用を30分の一にしろ!って言われるだろう
こういう不採算でも受注して「保守で儲ける」は綱渡りにみえる
人員的にギリギリの人数でやってる上に不採算をどんぶり勘定で誤魔化してるのは顧客も知らないだろう
本来なら平時からログ監視して読み込んで異常がすぐわかるようにしとくべきなんだがそういう雰囲気でなかった
業績のために利益確保したらこうなるんだろうなっていうところだった
※総務省がパスワード定期変更しなくていいと言ってたけどさ、そしたらこれ
忘れないなら変えたほうがいいよな
退職した前任者だってログインできちゃうし転売された廃棄品にパスワードのこってても詰む ダサすぎやね 使う側にも問題ありとめんどくさくないシステム作りが必要やね
カルテって全部署が全体見れるわけでなくて看護、事務、処方箋とか一部を各部署で参照・照会する感じじゃないんかな
別データ管理してたら患者データ捕違いしてそうで怖いな >>8
頭よくないとできない仕事ではないからな
単に就職競争のなかで頭よくないと採用されないだけ >>561
就活でうまくすり抜けられる能力と
実業務を淡々とこなす能力は別 >>562
事務も看護師も来なくなるわw
紙カルテの病院が近所にあるが看護師の口コミで紙カルテだから無理てっ書かれてる位だぞ センター試験5教科以上受験、TOEIC800点以上なら事務能力大丈夫そう >>562
医師の字が汚くて読めないとか普通にあるからな 日本人がIT音痴なのは間違いあるまい
ロジックの正確性で欧米人に負け
とっとと改善して次に移るってことが出来ない点が中国やロシア系、イスラエル、インドあたりに劣る NECっ言ってるけど実際に管理してたのは多重下請けで年収300行くかも怪しい奴等だろ >>567
不正請求が当たり前だから故意で北ない字にしてることもある NECってドローンも中国にパクらせてあげたしわざとやってるだろ >>544
ほとんどのユーザーはパスワードも含め全部ベンダーが管理しろていうのが日本だぜ。
「この機器のパスワードは?」て聞くと、逆に怒るユーザーがいる。 ウィンドウズですらそれは前に使ったやつだから違うのにしてくださいっていうぞ? 病院ならCAS使ってるだろ。なんでICで認証しないんだ? 付箋貼るはバカバカしいようだか部署内の人物しか見られないなら方法としては悪くない 特にネット環境で外部とつながっていたらこちらのほうがセキュリティあったりする 一刻争うときに「ここのパスワード誰か知っている?」ではどうしようもない
セキュリティと利便性が相反している状況なのでユーザビリティ考えたセキュリティ再考だな 指紋認証も意外にめんどい 弾かれたらブチギレそうだw >>45
マイナ保険証使うと、他の医療機関を受診した情報まで筒抜けになる >>575
それ見て思ったんだけどNTTコムのサイバー攻撃被害かなりたくさんの会社に影響が出てたんだ
あれでルーターの情報漏れてたのかなーとか思ってた
>>571
たしかにそうなんだ
多重請負でマージン取られた結果、末端はそんな扱い
だからまともな人はやらないし、多重請負で上野会社に問題報告なんざ無理なんだわ
>>411 みたいな関係のない業種が入るのもある
なんでかっていうと理事が実質支配者の会社だったりするからそこに金を流すため
指示書通りなら誰でもできるがマニュアルの不備には気づけないだろうし運用監視もできない
こんなのばっかり NEC、富士通、NTTデータの三馬鹿企業が日本のデジタル化の癌 コレNECの問題をリークして、病院と大阪市が責任回避しようとしてるんじゃねえの? おれのパスワードはユーザ辞書に格納してる
覚える必要がない >>567
伝説の名医の筆跡が残ってたりしてロマンがある 標準化して共通のプロトコルで通信すりゃ簡単に繋がんのにな 嫌儲民のアカウントのパスワード
abeshinzo パスワード使いまわしされても良いように二段階認証なんだろうが・・・ >>585 そらそうだ、Fortigateの脆弱性とかも
ファームアップデートしない利用者が悪いとか言い出してるからな
・VPN使ってないのにデフォルトでVPNユーザーが有効
な初期設定のミスなのに、Fortigateは責任を取る気が全くないのも同じ
Fortigate以外の防火壁・ルーターは全て
・VPNはデフォルト無効
なのにだよ・・・
NECにしても機密情報扱うのが判ってるのに、多段階認証・フィルターを
オプション扱いにしてる責任を取るべき >>583
多重請負は働いてる方は安いから無責任になるしハネてる方はハネれればどんなクズでもいいからコレも無責任になるしで本当に素晴らしいなw >>594
ルフィやダークネットと同じスキームなんだよね
人やルーターを多段式にして責任逃れをする
パチンコの三店交換やサブリース、フランチャイズ、マルチ商法も同じだね
えっ?泡沫政党も? >>596
実際バレてないだけで何度も何度もヤバいのやらかしてるからなw
報道されるか警察行かなきゃいかんやつでもなきゃ隠蔽よwww てか、侵入されてる時点でパスワードなんか変えたところでいくらでも取り放題やわ。情弱乙。
それよりも、多要素認証や接続管理が重要。 >>600
話が見えていないようだな 1読めよw 攻撃案件調査している中でパスワード問題あったということ 直接攻撃に使ったとか記事読めるところまででは書いていないな 総当たりでパスワードを破られたそうだが
一般の利用者のアカウントは
数回ログインに失敗したら自動で
ロックできるが、管理者のアカウントは
それができない
しかし管理者のログイン失敗は警報を発して
対応することはできるだろう 長文だが報告書が公表されていた
情報セキュリティインシデント調査委員会報告書ダウンロード
https://www.gh.opho.jp/important/785.html NTTフレッツモデムの管理者PWは使い回してもいいのに? 色んなシステム連携してて、ある所のパスワード
を変更すると別の所に入れなくなったり、機能が
使えなくなったりする事が良くある。
連携してるのに、上手く連携できてないという。 日本とロシアで医療データの交換はじまったらしい
それもたぶんVPNだから共用IDパスワードを教えちゃったなんてギャグはさすがにないだろう >>603の報告書読む限り、やろうと思えば内通者がいなくても侵入できちゃうだろうな
>>606
普通、特に医療関係は複数の専用システムを連携させる必要があるから、サインインは最初の一回だけで済むようにしてること(シングルサインオン)が多いけどな
特定のシステムだけが連携されてないのか、時々うまくいかないことがあるのか、によって問題点が異なる 個人個人がでったい忘れないパスワードにしといたらエエやろうに ■ このスレッドは過去ログ倉庫に格納されています
