医療用システムにハードコードの脆弱性、患者情報の流出や改ざんの恐れ

手術を受ける患者の情報を管理するシステムに脆弱性が発覚した。患者の情報が流出したり改ざんされたりする恐れがある。

» 2016年05月31日 07時45分 公開
[鈴木聖子ITmedia]

 病院で手術を受ける患者の情報を管理するための医療機関向けシステムに、パスワードなどの認証情報がハードコードされている脆弱性が発覚し、米カーネギーメロン大学のセキュリティ機関CERT/CCが5月26日にセキュリティ情報を公開して注意を呼び掛けた。

 CERT/CCによると、米MEDHOSTの「Perioperative Information Management System」(PIMS)の2015R1より前のバージョンに、データベースへのアクセスに使われる認証情報がハードコードされている脆弱性が存在する。

MEDHOSTのPIMS

 攻撃者がこの認証情報を知り、アプリケーションデータベースサーバと直接通信することができれば、患者の情報を入手したり改ざんしたりできてしまう恐れがある。

 危険度は共通脆弱性評価システム(CVSS)で8.3(最大値は10.0)と評価されている。MEDHOSTはPIMS 2015R1とそれ以降のバージョンでこの問題を修正したという。

CVSSによる評価(CERT/CCより)

 CERT/CCは一般的なセキュリティ対策として、信頼できるホストやネットワークからの接続のみを許可するよう助言。アクセスを制限すれば、ハードコードされた認証情報を攻撃者に使われる事態を防止できるとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ