NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。大阪市の病院が昨秋に受けたサイバー攻撃による被害の原因を調べる過程で、発覚した。NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている。
サイバー攻撃の被害に遭ったのは、大阪急性期・総合医療センター(大阪市住吉区)。
昨年10月、電子カルテのサーバーがランサムウェア(身代金ウイルス)に感染し、少なくとも数十台でデータが暗号化された。患者のデータなどが破壊され、約2カ月にわたって救急患者の受け入れや外来診療に影響が出た。
政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。
病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。
背景に「現場作業の利便性」
NECは使い回しについて…(以下有料版で,残り842文字)
朝日新聞 2023年3月26日 5時00分
https://www.asahi.com/articles/ASR3T4VNZR3RULZU003.html?iref=comtop_7_06 どんなに複雑な暗号化技術を使っても運用する人間がセキュリティホールになったら意味が無い。
4ウィズコロナの名無しさん2023/03/26(日) 07:33:13.09ID:J4jQgKYv0
『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえたんだけどどうよ?
>>4
「『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえた薄毛外国人おじさん」って映画考えたんだけど面白いと思う? 8ウィズコロナの名無しさん2023/03/26(日) 07:36:33.78ID:aR+VmE/10
病院関係って頭良くないと就けない職業なのに
なんでITスキルが低いんだろう
9ウィズコロナの名無しさん2023/03/26(日) 07:37:39.01ID:CBFNN3X10
>>8
そんなもんに脳みそ使ってる暇があれば医療のために使う
そのために専門家に高い金払ってるんだ うちの電子カルテもNECなんだよな~
そのうち狙われるかもな
12ウィズコロナの名無しさん2023/03/26(日) 07:38:24.58ID:B1vFJud90
パスワードは123456?
13ウィズコロナの名無しさん2023/03/26(日) 07:38:34.88ID:b+FKemXI0
もう紙カルテでいいじゃん
個人情報も盗み放題
顔認証なり職員にQR持たせて席を離れたらロックされるようにしないと
作った奴バカだろ
>>12
999999とかゾロ目が多かった気がする 17ウィズコロナの名無しさん2023/03/26(日) 07:41:38.45ID:S7VDwzYp0
>半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。
くっそわらうけど悲しいけどこれ現実なのよね。
18ウィズコロナの名無しさん2023/03/26(日) 07:43:34.02ID:ODYWXs++0
で、それが何で外部に漏れたのよ
だからさ、個別のパスワードを入力させて運用すること自体が無理なんだよ
どんなに厳格なルールを作っても人間がヨシすれば無意味
NECはほんと無能
しかもvstaとか使ってる
MRIの画像見るアプリが64bit動作保証外
今月のパスワードとかホワイトボードに書いてある病院もあったな
24ウィズコロナの名無しさん2023/03/26(日) 07:49:19.98ID:zkvJU5TY0
ID admin
pass admin
25ウィズコロナの名無しさん2023/03/26(日) 07:49:53.42ID:4J8y7eTL0
電子カルテを一括で管理しようとか話出てたな
こんな状態でw
26ウィズコロナの名無しさん2023/03/26(日) 07:52:54.64ID:SUFvfXcr0
よく解雇されないな
NEC 医療ソリューション事業部門 中島誠一郎ディレクター
「病院内の閉じられたネットワークという部分を過信してシステムを構築していたのは事実。今後は考え方を改め、抜本的なセキュリティー対策を講じていく」
一定期間でパスワード変えましょうっていうとヘルプデスクがパンクするという…
サーバのパスワード変更すると、スクリプト埋め込み(平文直書き)の実体が把握できない為、オススメできませんって言われる…
29ウィズコロナの名無しさん2023/03/26(日) 07:57:58.89ID:NlLfsfER0
アカウント毎にかねとるから?
なんで個別にできないんだ?
リモート用で面倒なだけ?
4桁の数字とICカードの組み合わせあたりが現界だった
触れる人数が多いと生体認証はクレームの嵐になるので諦めた
32ウィズコロナの名無しさん2023/03/26(日) 07:58:46.37ID:NlLfsfER0
34ウィズコロナの名無しさん2023/03/26(日) 08:00:35.19ID:fnEg8+940
もうキーエンスにたのめよ
手術中に別の人の指示を出すこともあらるからね
キーボードもタッチパネルも触れない
36ウィズコロナの名無しさん2023/03/26(日) 08:04:33.86ID:R6CwyPg40
37ウィズコロナの名無しさん2023/03/26(日) 08:05:14.68ID:X1WZNsUE0
>>30
売り込みに行く営業が顧客にパスワードの管理をコストとして提示してないから
納品してから「パスワード管理してくださいね」って言ったら
「そんなめんどくさいことおまえらがやれ」
って言われるだけ 38ウィズコロナの名無しさん2023/03/26(日) 08:06:56.36ID:57RGXxXx0
>>37
だめな営業じゃないかw
依頼があったんだから別途見積もり示して、契約勝ち取るとこまでしなきゃ
チューチューチューですよ! 39ウィズコロナの名無しさん2023/03/26(日) 08:08:03.23ID:2XIfScrT0
>>31
情報システムの職員が院内に不在の夜間休日帯にトラブルが起きると対応が面倒。
院内にいる事務当直だってバイトや外部からの派遣の、素人だったりするし。 >背景に「現場作業の利便性」
NECがこれ言っちゃダメだろ
スタンドアローンだったのにマイナンバーのせいでネットに繋がっちゃったからね
あちこちでIDやパスワードだらけでとてもじゃないが覚えられないのだが
みんなどうしてんだ
45ウィズコロナの名無しさん2023/03/26(日) 08:10:43.98ID:7r9pGr1F0
>>1
電子カルテだけでこんな状態なのに
マイナカードを保険証として使うとそれも接続することになるし
うまくいくかね? 47ウィズコロナの名無しさん2023/03/26(日) 08:11:28.32ID:X1WZNsUE0
>>45
もうとっくに繋がってるし
お前がマイナカード持ってようと持ってなかろうと
既にデータは入力されてる 実際電子カルテの推奨パスワードは大文字小文字アルファベット記号数字を組み合わせた13文字以上が推奨されてる。
だけどそんな馬鹿な事やってる病院はないだろう。
50ウィズコロナの名無しさん2023/03/26(日) 08:12:58.61ID:uKUb5aj10
何でもかんでもidとパスワード
そりゃこうなるわ
バーカバーカ
51ウィズコロナの名無しさん2023/03/26(日) 08:13:10.62ID:+XeuAO160
A病院とB病院で同じ管理者のパスワードだったん?
52ウィズコロナの名無しさん2023/03/26(日) 08:13:46.02ID:M9T/hAaa0
よくわからんが病院ごとに1つのIDと1つのパスワードでログイン?するのは
理にかなってる気もする
>>50
ほんそれ
病院なんだからレントゲン認証とかしたらいいのにな >>49
うちはやってるよ
俺はスマホの下四桁と*.IDにしてるわ 56ウィズコロナの名無しさん2023/03/26(日) 08:14:04.01ID:LRb2ORv60
>>27
自分と縁がある番号ならともかく、適当に決められた英数字記号なんか覚えてられんし見ながら打つにしても間違うからやめて欲しい 57ウィズコロナの名無しさん2023/03/26(日) 08:14:08.31ID:+XeuAO160
でもお前ら自分のPCはパスワード無しや管理者権限で使う無敵モードじゃん
電子カルテには誰が何を記載したか区別するため
医療従事者は各自異なるIDでログインするはず
>>1の記事のIDとパスワードは管理者用のことなのか?
そういえば俺が派遣で働いていた病院は
Fの電子カルテだったが、サーバーの
管理者用IDとパスワードは安直なのだったな
これが原因だとしたら被害の賠償は
NECが負担することになるのか? 59ウィズコロナの名無しさん2023/03/26(日) 08:14:46.08ID:X1WZNsUE0
世の中の認証はもうマイナカードに一元化しませんか?
60ウィズコロナの名無しさん2023/03/26(日) 08:15:13.30ID:nsO1bmCt0
マイナのオンライン保険証確認のシステム構築をnttで申し込むと
PCがレノボ一択なんだけどどうにかして欲しい
>>58
派遣会社ごとのIDだった病院を俺は知ってる
今どう成ってるかは知らんけど 62ウィズコロナの名無しさん2023/03/26(日) 08:16:22.00ID:pbOGJ1Tf0
>>10
それのほうがマシでしょう
物理的にサーバーに近づかなきゃ見れないから
ドア入口のセキュリティをしっかりしておけばいいんだし >>58
病院スタッフのIDじゃなく、機器設定用じゃね?
機器間接続するのにもバラバラじゃ大変そうだし。 64ウィズコロナの名無しさん2023/03/26(日) 08:17:25.99ID:X1WZNsUE0
65ウィズコロナの名無しさん2023/03/26(日) 08:18:05.72ID:rgiL1DRN0
紙カルテ最強
紙に戻してやればいい
何もかもデジタルにする必要は無い
>>65
紙カルの病院は給与を倍にしてもスタッフが集まらないから無理よ > 背景に「現場作業の利便性」
セキュリティの話ですぐ利便性いう奴は消えて欲しいわ
69ウィズコロナの名無しさん2023/03/26(日) 08:22:07.98ID:hrfxmHWE0
そういう運用したいシステムは隔離すればいいんじゃね?
銀行の勘定系と情報系みたいな感じで
対策が終わったから公表したのかな
よく半年もこの情報が広がるのを抑えられたものだ
71ウィズコロナの名無しさん2023/03/26(日) 08:23:09.98ID:Kun27giM0
大体なんで電子カルテシステムが
インターネットにつながってんだよ
72ウィズコロナの名無しさん2023/03/26(日) 08:23:14.84ID:M68NfBuV0
な?ジャップだろ?
ネトウヨ誇らしいか?
>>71
保険請求がオンラインだから
これもまもなく義務化される 75ウィズコロナの名無しさん2023/03/26(日) 08:24:55.29ID:Kun27giM0
76ウィズコロナの名無しさん2023/03/26(日) 08:25:28.39ID:XeFChiUp0
>>1
DBにアクセスするプログラムってID、パスワードを直書きしてるの多いんじゃない? 77ウィズコロナの名無しさん2023/03/26(日) 08:26:28.00ID:abQuqE9Y0
>>71
地域連携システムの他の病院からもありえる 78ウィズコロナの名無しさん2023/03/26(日) 08:26:46.98ID:HmmNTER50
自宅のWi-Fiルータですら購入後真っ先に初期設定のパスワードから変えるぞ
何万人の患者から個人情報預かっててそのままとか何を考えてるんだ
79ウィズコロナの名無しさん2023/03/26(日) 08:27:00.79ID:Kun27giM0
>>75
全ての病院のシステムサポートが優秀だと思うか? 医療関係者のログインには物理キー使えばいいと思う
システム自体の連携にアクセスキーを設定で固定に埋め込むとかいう話なら
設計に問題があったのかもしれない
全部生体認証とかにでもすりゃいいんかね
システム作るより人間調教するほうが難しいわ
>>63
電子カルテシステムの管理者は
医療従事者のようにカルテに記載することは
基本的にないけど、サーバーを24時間監視して
ログを取ったりしますからね 85ウィズコロナの名無しさん2023/03/26(日) 08:30:10.35ID:X2vuUyv/0
>>62
定期的にパスワード変更しましょうって言うNECですら、玄関の鍵は30年変えてないっしょ。 >>81
こういうしたり顔での案ってアホなのばかり >>68
でも複雑にすると人の手に負えなくなるから、ID/パスワード台帳で運用することになり、それが丸ごと漏洩するだけよ。
ここにいるやつだってパスワードを全部暗記して毎回手入力してるやつなんてレアだろ。
それがパスワードの限界だよ。 ところで全サーバのパソコンに管理者権限でアクセスできるIDが
ActiveDirectoryに存在するというのもここで言われているような
状態に相当するの?
90ウィズコロナの名無しさん2023/03/26(日) 08:32:26.46ID:8LnRpHTR0
前に使ったパスワードを記録してて、再度使おうとすると前に使ってただろって言うの止めろよ
そういうところから流出するんだからな
91ウィズコロナの名無しさん2023/03/26(日) 08:32:33.15ID:3zddT+8e0
自分が現場の担当技術者だったら恥ずかしすぎて退職しそう
>>86
今は定期パスワード変更は害悪だという見解の方が多いな。
自分はそれに加えて、文字種混合の強制やランダムパスワードの強制も害悪だと思ってるけど。 >>90
前と同じのを使おうとして止められるのはまだしも
前に使ってたのと少ししか違わないからダメって言ってくるのを見て
お前平文を保存してるんかと信用できなくなった >>90
それはパスワードを平文で覚えているわけじゃないから、そこから漏洩することはほぼ無い。
それより、前回と同じパスワードの使用を禁止することによって毎回パスワードを変更せざるを得なくなり、暗記できなくなることが問題。 98ウィズコロナの名無しさん2023/03/26(日) 08:37:14.42ID:Kun27giM0
>>93
なんで平文と断定できるんだよ
暗号化の仕組み知ってる? 病院って複数の人で同じ端末を触るから個人用IDじゃなさそう
だからIDを使いわましてたんだろうな