ニュース
医療用システムにハードコードの脆弱性、患者情報の流出や改ざんの恐れ
手術を受ける患者の情報を管理するシステムに脆弱性が発覚した。患者の情報が流出したり改ざんされたりする恐れがある。
病院で手術を受ける患者の情報を管理するための医療機関向けシステムに、パスワードなどの認証情報がハードコードされている脆弱性が発覚し、米カーネギーメロン大学のセキュリティ機関CERT/CCが5月26日にセキュリティ情報を公開して注意を呼び掛けた。
CERT/CCによると、米MEDHOSTの「Perioperative Information Management System」(PIMS)の2015R1より前のバージョンに、データベースへのアクセスに使われる認証情報がハードコードされている脆弱性が存在する。
攻撃者がこの認証情報を知り、アプリケーションデータベースサーバと直接通信することができれば、患者の情報を入手したり改ざんしたりできてしまう恐れがある。
危険度は共通脆弱性評価システム(CVSS)で8.3(最大値は10.0)と評価されている。MEDHOSTはPIMS 2015R1とそれ以降のバージョンでこの問題を修正したという。
CERT/CCは一般的なセキュリティ対策として、信頼できるホストやネットワークからの接続のみを許可するよう助言。アクセスを制限すれば、ハードコードされた認証情報を攻撃者に使われる事態を防止できるとしている。
関連記事
- 画像処理ツール「ImageMagick」に脆弱性、広い範囲に影響の恐れ
PHP、Ruby、NodeJS、Pythonなど多数のプログラミング言語にも使われているImageMagicに脆弱性が見つかった。 - NTPに複数の脆弱性、更新版で修正
悪用された場合、サービス妨害(DoS)攻撃を仕掛けられたり認証をかわされたり、設定を変更されたりする恐れがある。 - IoT機器へのサイバー攻撃、国内で増加が顕著に
IoT機器へのサイバー攻撃、国内で増加が顕著に - BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開
BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。悪用された場合、LANクライアントが攻撃者の制御する不正なホストに接続してしまう恐れがある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.