電子カルテ、IDとPW使い回しでサイバー攻撃被害拡大 NEC構築 [蚤の市★]
■ このスレッドは過去ログ倉庫に格納されています
NECが構築した電子カルテシステムを使う全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。大阪市の病院が昨秋に受けたサイバー攻撃による被害の原因を調べる過程で、発覚した。NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている。
サイバー攻撃の被害に遭ったのは、大阪急性期・総合医療センター(大阪市住吉区)。
昨年10月、電子カルテのサーバーがランサムウェア(身代金ウイルス)に感染し、少なくとも数十台でデータが暗号化された。患者のデータなどが破壊され、約2カ月にわたって救急患者の受け入れや外来診療に影響が出た。
政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。
病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。
背景に「現場作業の利便性」
NECは使い回しについて…(以下有料版で,残り842文字)
朝日新聞 2023年3月26日 5時00分
https://www.asahi.com/articles/ASR3T4VNZR3RULZU003.html?iref=comtop_7_06 >>1
電子カルテの送ってくる情報提供書は20ページ以上の余白だらけ
読みやすいように人類が工夫した「表」という一大発明品を
こうも読みにくくするコンピューター(のメーカー)の頭の悪さよ
読みにくくて仕事にならないし
臨床現場では医療ミス〜事故の温床にさえなっている 任されたNECは素人同然の管理しかしなかったってことだね。NECって、問題が発生しないと動けないゴミ会社だね。 どんなにIT化が進んでもIDとPWでログインしてる限りセキュリティの穴は埋まらないよな
肝心な部分が人任せだもんな >>98
前回と近いパスワードを検出するにあたって、どんな安全な方法が考えられる? 副院長派「PW:geribennaga」
外科部長派「PW:hukudomari」 >>95
携帯の下四桁*.ID逆入力
例
0000*.4321
これだけで対応できるよ
もう数年悩んだ事がない
全部これで統一してる >>104
そういうことができる性質を持つものは
運営も信用できない状況での暗号化に使うべきでないと思う >>100
人のIDでカルテ触るなって言うんだけど
そんなの守ってる暇が無いんだよね
携帯みたいに親指で1秒以内ならログインし直すけど >>92
理由が、返ってパスワードが脆弱になるから、だからな
アナログな理由で止めるならシステムもアナログに戻せばいいのにw
現代人にコンピュータは早かった >>106
そのルールの個別の是非はともかく、
そういう他人に類推されず充分な桁数が得られる生成ルールで運用するのがいいと思うよ。自分もそう。
ただ組織で使うパスワードだと、そのルールが漏れる可能性があるからちょっと厳しいよね。 デジタル庁でパスワード管理ソフト作って国民に提供してくれ >>95
/etc/shadowに不可逆な形で保存されており暗号化されたものからパスワード推定は総当たりしかできない。
前回パスワードと1文字ないし2文字違いというのは上記の不可逆暗号化していると判定できない。
従い、平文で保存されていると推測される。 病院にも情報システム管理者が必要てことだな
病院でこれだよ
マイナンバーカード保険証義務化で個人クリニックもネットにつながるけど個人クリニックを踏み台にしてハッキングされまくりだな
保険証連携は危ない
しばらく様子見が吉 >>102
素人とは思わないけど、特殊な製品ということで普通のシステムとは
独立した集団で開発・維持されていたかもしれんね。 うちは社員証にQRがついてて
システムにログインするときは
そのQRでログインするようになってるよ >>115
うん、完全一致以外の判定をするならね。>>93 からの流れはそれだろ。 最近はパスワード無し認証(生体認証)や多要素認証とかも増えてるわね >>118
社員証を落としたらダメですね。13桁のパスワードも設定しましょう >>113
デジタル庁が素人の集まりだからムリだろ。
伝染病アプリ丸投げでボロボロ、マイナンバーの仕組みも運用もぼろぼろ。
デジタル庁歴代長官もぼろぼろ。 >>118
パスワードかその他の認証手段併用ですか? >>71
ビッグデータ活用とか地域連携とかてほぼ矯正やぞ
これからはもっと酷くなる >>116
病院にも情報システム管理者が必ず居るよ
例えば今回4月からマイナンバーで保険登録しないと料金が高くなるんだけど
医療事務はそんな細かい通達に対応できないからシステム側で勝手にやる
ただシステムサポートが優秀とは限らない
今勤めてる加増診断加算入れてないと次のページに進めないが、前務めていた病院では画像加算入ってないのに次のページに進めていた
まぁこの辺の分野とネットワークの分野はかなり違う分野らしいけど >>118
QRだけだと複製が簡単だからな。
スマホのカメラもめちゃ性能いいから、遠くからでも充分な解像度で盗めるんじゃね? 「IDとパスワードが使いまわされてる」ってなかなか凄いな
IDが人に紐づいてなくてadmin垢で運用してるってことでしょ? 病院は薬剤管理の関係上入館はIDカード使っていることが多いのにね
IDを使い回すでは誰がカルテ書いたか分からない
改竄できるじゃない >>118
それはつまりパスワードなしIDのみで運用ってことね >>127
先生……個人識別出来る個人用ユーザー使い回される事がたまによくあるんすわ >>128
IDカードで入出管理してるのなんて一部の病院だけだよ
因みにそのIDで電カルのログインは出来ないクソ使用 >>130
病院またいで使いまわされてるからadmin垢の話じゃないの? >>120
電子カルテを導入した当初は
指紋認証だったけれども
特に看護師は手が荒れる人が多くて
指紋センサーがエラーになるんですよね Windows系の認証システムはADで統合して一括管理するが、複数の周辺系システムの連携とは別に更新分だけ非同期配信したりで別な仕組みになってる事もある。
サーバ系はUNIX系やクラウド系なら別管理になる事もあるし、Win系サーバだけで独自AD構築やあAD不参加パターンもある。 レセコン2台+マイナカード受付PC+レセプトオンライン請求専用PC
クリニックの受付デスクはパソコンだらけで仕事になりませんwww >>121
パスワードなんていらないでしょ
誰が社員証を落としたかは特定できるからそいつをみんなで袋叩きにすれば >>125
パソコンに詳しいおじさんレベルだろうね。
そんな専門家だったらとっくに転職してて病院のシステム部門なんてやってないやろ。 >>136
指紋は荒れても静脈は荒れないと思いますが >>114
業者が外部から社内ネットワークに入れるの?
ありえないわ >>125
管理者いるんだ
それで使いまわしは信じられない
医療事務システムはIDは個人ごとだった?
部門でひとつ? >>139
クレジットカード一体型学生証の話を思い出しました
まあ社員証みたいに常に見えるようにぶら下げておけとか
言われないものでしょうから成立するんでしょうけど でもまあそれはそれとして、バックアップ体制はどうなってるんだろうね。
まずオリジナルがランサムウェアの被害にあったことはいろんな方法で検出可能。
汎用的で簡単なのは、おとりのファイルをいくつか置いておいて、それが改竄されたことを検出すればいい。
でその検出ができたなら、バックアップを停止すれば汚染ファイルでバックアップが上書きされることを阻止できる。
とか、侵入される前提の対策はあると思うんだよね。 >>145
派遣会社ごとのIDだった病院を俺は知ってる
今どう成ってるかは知らんけど >>142
加齢による不正脈とか人間は常に同じ状態とは限らない。
気圧によって頭痛や目が見づらい事もある。 弊社のVPNはユーザー名、パスワードに加えて
IMEI番号とマックアドレスも登録されてるから
社外ネットワークから侵入するのは無理ですね 日本の大手SIerって品質が中小企業と変わらないのでは? >>142
静脈用のセンサーって重くて高くないですか?
大病院だと数百台とか必要になりますし >>71
ベンダーが仕掛けるバックドアとか。
ソニータイマー的な事もできるやん。
技術者が突破できない事なんて無い。 >>151
静脈認証が通らなくなったらはやく病院に池! >>146
医学専門分野は詳しいが専門外はからっきしダメでしょ。 >>153
受注は大企業がしてるけど中身は中小企業の人たちが作ってるんだもん >>134
読み違えしてたわ。そっちが正しいと思う。すみません >>160
それなら伝言ゲームになる大手のほうが品質が低いのでは? >>1
これは病院責めるのは酷。
病院だってNECに任せとけばすべて安心って思うに決まってるだろ >>156
本体のシステムより高くは無いでしょ
非接触だから清潔だし >>153
変わらんどころかどんどん酷くなってるよ
機器連携ですらも昔は仕様書渡したら
合わせてくれてたのに今はコストダウンでパッケージ売しかしませんから機器が合わせてくださいって言われてる
仕方ないから中小のソフト会社に頼んで中間プログラム作ってくれる会社を入れてるからコストが別にかかってエンドユーザーからしたらコストダウンの恩恵無いし >>152
中のPCのコントロール奪われたら意味ないぞ >>163
大正解
ちなみにコミュニケーションコストが無駄にかかるので費用も高くなります >>149
バックアップの仕組みは初期構築で用意はされるけど、リストアテストで問題なく戻る事を確認しない事もある。
年数たてばじつはバックアップ取れてませんでした、有効なバックアップが存在しません、ってのはよくある話。 >>164
病院スタッフも使い回しの認証でPC使ってますよ^ ^ >>134
個人用端末じゃなくて共用端末なんでしょう
そしてそれを色んな人が入れ代わり立ち代わり触っているんでしょう
共通PCを個人用IDでなくAdmin等のIDでログインしていたのでしょう
共用PCを端末別IDにすると覚えられないので共通のIDにしていたのでしょう >>159
妻が病院で働いてたけど
ウィルスまみれのUSBを持ち帰ってきた事があったな
誰一人気付かなかったし業者すら気付かなかったらしい >>166
今に限った話じゃないけど、大手はハードもソフトも自社製を持ってるから、それをネジ込んでくるのよね。
フィットしていなかろうと他所に優れたものがあろうと。
客のことなんて考えてないぞあいつら。 >>152
IMEI, MACは書き換えられるし、ID/Passも容易に入手できる。新幹線や航空機でPC使ってる人の画面や操作丸見えだから、簡単に入手できるよ。
だいたいセキュリティ意識低いからw >>165
電子カルテの端末はノートPCや
PDAもあるんですよ
電源が持ちますかね? 医療従事者は医者も含めてIT音痴だらけだからな
患者データ持ち帰りとか当たり前の世界だぞ >>128
改ざんできないシステムは「使い勝手が悪い」から嫌なんだろ
よくある話 >>164
運用設計やセキュリティ診断は別料金で請てないんだろうね。システム入れてなんとなく動き出したら知らんがな、がベンダーの立場。
お金積んでお願いされれば話は聞いてもらえる。 >>176
多分クライアント証明書使って認証かけてるSSL-VPNの話でしょ 瑕疵があったなら懲罰的制裁を下し、会社が消えて無くなるような打撃を与えるべき >>169
あるあるだね。
直接的な復元以外に、アナログの道も必要かもね。
毎晩全部のカルテを PDF 出力しておくとか。
ランサムウェアにやられたら紙運用しながらせっせと打ち直す。 NEC MegaOakIBARS
富士通 HOPE
病院に入ってるシステムはこのどちらか >>171
その運用だとセキュリティ監査してたら絶対ひっかかるのにな
もったいない 普通にウィルス対策システムを導入すればいいんじゃねえの、まぁパスワード周りは生体認証にして。 利用者が仕組みを理解してセキュリティ意識高く維持して業務にあたってるなんてのはないからね。
年一で社内セキュリティ教育やってもだいたい寝てるやろ。 >>176
ほとんどの人がポストに鍵を隠しているときに、わざわざピッキングの手間をかける泥棒はいない
世間のセキュリティー意識が低いことは自分の家が被害を受ける機会を減らすんですよ
……まあ、誰かの恨みを買っていた場合はその限りではないけど >>178
それだけを安くしてもらっても
新たな機器に入れ替えるコストだとか
そもそもA社の電子カルテにB社の静脈センサーを
取り付けられるか病院には判断できないですし >>170
それも含めてでしょ
NECに使いまわしはだめって言われてなかったら
使いまわししても安心って思うのは当然だろ >>174
大手がハードもソフトも自社で抱えてるのは保証をつける為であって
よく知らんメーカーの機器を勝手に使ってそこが原因で問題起きたら自分で直せるの?って話じゃね >>187
電カル動かしてるOSはWindowsだぞ
ハッキングやウイルスでのクラッキングじゃなくてID漏れ侵入 個人情報を扱わない企業でも最低限誰がいつどの情報にアクセスしたか分かるようにログをとっているもんだが
病院ドラマでは毎回IDとパスワード入力してて研修医の権限では詳細が見れないとやってたのに
あれは嘘だったんだな >>187
>>193
基本情報技術者試験に出てきそうな問題だなw アクセスする端末のIPやMACアドレスも判定すれば防げるのに何故しないの? >>184
そういうのも含めてBCPをちゃんとやってあればいいんだけどいざと言う時の為に金や時間は使わないからね。
電源喪失、建物倒壊、津波、震災、職員大量離職、院長死亡、ITシステム停止〜短期/中長期利用不可、こういった事にどう対応するのかいきあたりばったりでしょ。 >>187
ウイルス対策って院内感染も防げないのに? ■ このスレッドは過去ログ倉庫に格納されています