電子カルテ、IDとPW使い回しでサイバー攻撃被害拡大　NEC構築 [蚤の市★]

**蚤の市 ★** · 2023/03/26(日) 07:30:27.70

　NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。大阪市の病院が昨秋に受けたサイバー攻撃による被害の原因を調べる過程で、発覚した。NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている。

　サイバー攻撃の被害に遭ったのは、大阪急性期・総合医療センター（大阪市住吉区）。

　昨年10月、電子カルテのサーバーがランサムウェア（身代金ウイルス）に感染し、少なくとも数十台でデータが暗号化された。患者のデータなどが破壊され、約2カ月にわたって救急患者の受け入れや外来診療に影響が出た。

　政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。

　病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。

背景に「現場作業の利便性」
　NECは使い回しについて…(以下有料版で，残り842文字)

朝日新聞　2023年3月26日 5時00分
https://www.asahi.com/articles/ASR3T4VNZR3RULZU003.html?iref=comtop_7_06

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:32:17.82

どんなに複雑な暗号化技術を使っても運用する人間がセキュリティホールになったら意味が無い。

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:32:56.16

VPN装置のアップデートじゃなかったの？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:33:13.09

『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえたんだけどどうよ？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:34:42.71

二段階認証しろよ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:35:45.32

>>4
「『しゃもじメガネとTシャツチビ』っていうVシネマ映画かんがえた薄毛外国人おじさん」って映画考えたんだけど面白いと思う？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:35:47.37

ICログインにしてないのに驚いた(ノ∀｀)

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:36:33.78

病院関係って頭良くないと就けない職業なのに
なんでITスキルが低いんだろう

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:37:39.01

>>8
そんなもんに脳みそ使ってる暇があれば医療のために使う
そのために専門家に高い金払ってるんだ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:38:04.72

そもそもIDとパスワードを書いて貼ってるだろ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:38:17.42

うちの電子カルテもNECなんだよな～
そのうち狙われるかもな

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:38:24.58

パスワードは123456？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:38:34.88

もう紙カルテでいいじゃん

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:39:08.94

zxcvbnm

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:40:02.94

個人情報も盗み放題
顔認証なり職員にQR持たせて席を離れたらロックされるようにしないと
作った奴バカだろ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:40:10.25

>>12
999999とかゾロ目が多かった気がする

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:41:38.45

>半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。

くっそわらうけど悲しいけどこれ現実なのよね。

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:43:34.02

で、それが何で外部に漏れたのよ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:43:47.15

IDパスがモニターに付箋で貼ってあるんだよな

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:44:28.24

親方日の丸ハナホジ企業だからしゃーない

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:46:38.41

だからさ、個別のパスワードを入力させて運用すること自体が無理なんだよ
どんなに厳格なルールを作っても人間がヨシすれば無意味
NECはほんと無能

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:46:58.44

しかもvstaとか使ってる
MRIの画像見るアプリが64bit動作保証外

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:47:19.98

今月のパスワードとかホワイトボードに書いてある病院もあったな

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:49:19.98

ID admin
pass admin

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:49:53.42

電子カルテを一括で管理しようとか話出てたな
こんな状態でｗ

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:52:54.64

よく解雇されないな

NEC　医療ソリューション事業部門　中島誠一郎ディレクター
「病院内の閉じられたネットワークという部分を過信してシステムを構築していたのは事実。今後は考え方を改め、抜本的なセキュリティー対策を講じていく」

**名無しさん** · 2023/03/26(日) 07:53:45.98

一定期間でパスワード変えましょうっていうとヘルプデスクがパンクするという…

**名無しさん** · 2023/03/26(日) 07:53:58.97

サーバのパスワード変更すると、スクリプト埋め込み(平文直書き)の実体が把握できない為、オススメできませんって言われる…

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:57:58.89

アカウント毎にかねとるから？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:58:05.74

なんで個別にできないんだ？
リモート用で面倒なだけ？

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:58:22.14

4桁の数字とICカードの組み合わせあたりが現界だった
触れる人数が多いと生体認証はクレームの嵐になるので諦めた

**ウィズコロナの名無しさん** · 2023/03/26(日) 07:58:46.37

>>26
GMPでは考えられんな

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:00:32.84

>>30
ユーザー側からしたらメリット無いだろ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:00:35.19

もうキーエンスにたのめよ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:03:59.89

手術中に別の人の指示を出すこともあらるからね
キーボードもタッチパネルも触れない

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:04:33.86

>>1
付箋に書いてモニターに貼っとけよ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:05:14.68

>>30
売り込みに行く営業が顧客にパスワードの管理をコストとして提示してないから
納品してから「パスワード管理してくださいね」って言ったら
「そんなめんどくさいことおまえらがやれ」
って言われるだけ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:06:56.36

>>37
だめな営業じゃないかw
依頼があったんだから別途見積もり示して、契約勝ち取るとこまでしなきゃ
チューチューチューですよ！

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:08:03.23

>>31
情報システムの職員が院内に不在の夜間休日帯にトラブルが起きると対応が面倒。
院内にいる事務当直だってバイトや外部からの派遣の、素人だったりするし。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:08:52.79

＞背景に「現場作業の利便性」
NECがこれ言っちゃダメだろ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:09:53.06

スタンドアローンだったのにマイナンバーのせいでネットに繋がっちゃったからね

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:10:24.94

>>5
過剰な二要素認証だらけでうんざり。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:10:27.85

日常的に使うもんにいちいちパスワ入力とか

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:10:37.99

あちこちでIDやパスワードだらけでとてもじゃないが覚えられないのだが
みんなどうしてんだ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:10:43.98

>>1
電子カルテだけでこんな状態なのに
マイナカードを保険証として使うとそれも接続することになるし
うまくいくかね？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:11:24.58

>>44
もちろん使いまわし

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:11:28.32

>>44
Google先生に丸投げしてますが

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:12:03.98

>>45
もうとっくに繋がってるし
お前がマイナカード持ってようと持ってなかろうと
既にデータは入力されてる

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:12:16.00

実際電子カルテの推奨パスワードは大文字小文字アルファベット記号数字を組み合わせた13文字以上が推奨されてる。
だけどそんな馬鹿な事やってる病院はないだろう。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:12:58.61

何でもかんでもidとパスワード
そりゃこうなるわ
バーカバーカ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:13:10.62

A病院とB病院で同じ管理者のパスワードだったん？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:13:46.02

よくわからんが病院ごとに1つのIDと1つのパスワードでログイン？するのは
理にかなってる気もする

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:13:51.98

ダミーID 漏らしておとりにすればいいのに

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:13:56.15

>>50
ほんそれ
病院なんだからレントゲン認証とかしたらいいのにな

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:13:59.76

>>49
うちはやってるよ
俺はスマホの下四桁と*.IDにしてるわ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:14:04.01

>>27
自分と縁がある番号ならともかく、適当に決められた英数字記号なんか覚えてられんし見ながら打つにしても間違うからやめて欲しい

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:14:08.31

でもお前ら自分のPCはパスワード無しや管理者権限で使う無敵モードじゃん

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:14:41.73

電子カルテには誰が何を記載したか区別するため
医療従事者は各自異なるIDでログインするはず
>>1の記事のIDとパスワードは管理者用のことなのか？

そういえば俺が派遣で働いていた病院は
Fの電子カルテだったが、サーバーの
管理者用IDとパスワードは安直なのだったな

これが原因だとしたら被害の賠償は
NECが負担することになるのか？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:14:46.08

世の中の認証はもうマイナカードに一元化しませんか？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:15:13.30

マイナのオンライン保険証確認のシステム構築をnttで申し込むと
PCがレノボ一択なんだけどどうにかして欲しい

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:15:40.61

>>58
派遣会社ごとのIDだった病院を俺は知ってる
今どう成ってるかは知らんけど

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:16:22.00

>>10
それのほうがマシでしょう
物理的にサーバーに近づかなきゃ見れないから
ドア入口のセキュリティをしっかりしておけばいいんだし

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:16:29.31

>>58
病院スタッフのIDじゃなく、機器設定用じゃね？
機器間接続するのにもバラバラじゃ大変そうだし。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:17:25.99

>>62
サーバーに人が近づくとかありえんけど

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:18:05.72

紙カルテ最強

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:19:18.93

紙に戻してやればいい
何もかもデジタルにする必要は無い

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:19:25.19

>>65
紙カルの病院は給与を倍にしてもスタッフが集まらないから無理よ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:19:39.99

> 背景に「現場作業の利便性」
セキュリティの話ですぐ利便性いう奴は消えて欲しいわ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:22:07.98

そういう運用したいシステムは隔離すればいいんじゃね？
銀行の勘定系と情報系みたいな感じで

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:23:02.00

対策が終わったから公表したのかな
よく半年もこの情報が広がるのを抑えられたものだ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:23:09.98

大体なんで電子カルテシステムが
インターネットにつながってんだよ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:23:14.84

な？ジャップだろ？
ネトウヨ誇らしいか？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:23:42.42

>>71
マイナンバー

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:24:29.51

>>71
保険請求がオンラインだから
これもまもなく義務化される

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:24:55.29

>>73
DMZは？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:25:28.39

>>1
DBにアクセスするプログラムってID、パスワードを直書きしてるの多いんじゃない？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:26:28.00

>>71
地域連携システムの他の病院からもありえる

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:26:46.98

自宅のWi-Fiルータですら購入後真っ先に初期設定のパスワードから変えるぞ
何万人の患者から個人情報預かっててそのままとか何を考えてるんだ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:27:00.79

>>76
ねーわ
SHAとか使うだろ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:27:01.54

>>75
全ての病院のシステムサポートが優秀だと思うか？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:27:39.44

医療関係者のログインには物理キー使えばいいと思う
システム自体の連携にアクセスキーを設定で固定に埋め込むとかいう話なら
設計に問題があったのかもしれない

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:29:27.70

だから、網膜パターンで認証させろと

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:29:31.30

全部生体認証とかにでもすりゃいいんかね
システム作るより人間調教するほうが難しいわ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:30:03.66

>>63
電子カルテシステムの管理者は
医療従事者のようにカルテに記載することは
基本的にないけど、サーバーを24時間監視して
ログを取ったりしますからね

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:30:10.35

>>37
営業が仕様まで作ると思ってるのかw

**名無しさん** · 2023/03/26(日) 08:31:01.85

>>62
定期的にパスワード変更しましょうって言うNECですら、玄関の鍵は30年変えてないっしょ。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:31:07.65

>>81
こういうしたり顔での案ってアホなのばかり

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:31:14.47

>>68
でも複雑にすると人の手に負えなくなるから、ID/パスワード台帳で運用することになり、それが丸ごと漏洩するだけよ。
ここにいるやつだってパスワードを全部暗記して毎回手入力してるやつなんてレアだろ。
それがパスワードの限界だよ。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:31:26.22

ところで全サーバのパソコンに管理者権限でアクセスできるIDが
ActiveDirectoryに存在するというのもここで言われているような
状態に相当するの？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:32:26.46

前に使ったパスワードを記録してて、再度使おうとすると前に使ってただろって言うの止めろよ
そういうところから流出するんだからな

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:32:33.15

自分が現場の担当技術者だったら恥ずかしすぎて退職しそう

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:33:50.31

>>86
今は定期パスワード変更は害悪だという見解の方が多いな。
自分はそれに加えて、文字種混合の強制やランダムパスワードの強制も害悪だと思ってるけど。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:34:11.91

>>90
前と同じのを使おうとして止められるのはまだしも
前に使ってたのと少ししか違わないからダメって言ってくるのを見て
お前平文を保存してるんかと信用できなくなった

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:35:52.51

>>93
ワロタw

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:36:03.92

>>90
それはパスワードを平文で覚えているわけじゃないから、そこから漏洩することはほぼ無い。
それより、前回と同じパスワードの使用を禁止することによって毎回パスワードを変更せざるを得なくなり、暗記できなくなることが問題。

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:36:24.68

>>1
んゴ

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:36:43.30

>>93
そうだ、そういうのあったよねw

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:37:14.42

>>93
なんで平文と断定できるんだよ
暗号化の仕組み知ってる？

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:38:12.81

>>98
パスワード管理に可逆暗号を使うなと

**ウィズコロナの名無しさん** · 2023/03/26(日) 08:38:29.74

病院って複数の人で同じ端末を触るから個人用IDじゃなさそう
だからIDを使いわましてたんだろうな