ニュース
医療系ソフトウエアのハックコン開催で46の脆弱性発見
神戸デジタル・ラボ、医療系ソフトウエアのハックコン開催で46の脆弱性発見
個人情報流出・改ざん・業務停止等につながる恐れ、医療業界に警鐘を鳴らす
株式会社神戸デジタル・ラボ(本社:兵庫県神戸市中央区、代表取締役社長:永吉一郎、以下KDL)は10月14日(土)、昨年一昨年に続き3回目となる「医療セキュリティハッキングコンテスト2017(以下 医療ハックコン2017)」を開催しました。
医療ハックコン2017は、実際に日本国内の調剤薬局で利用されている医療系ソフトウエアを対象としたハッキングコンテストで、当日は事前応募の25人・8チームが参加。合計46件(うちクリティカル2件)の脆弱性を発見するという結果になりました。
■開催の目的
震災から20年以上を経過する神戸は、2003年に先端医療産業特区に認定されて以来、数多くの研究所や大学、専門企業が進出し、正に医療の一大エリアとなっています。医療ハックコン神戸2017は、医療分野でのセキュリティに特化し、セキュリティレベルの高い医療系ソフトウエアと、病院内のセキュリティレベル向上を啓発すべく2015年より続けています。
■優勝は、チーム「binja(ビンジャ)」
参加者は25人・8チームに分かれ、ソフトウエアに対してセキュリティ上の脆弱性を探す「バグハンティング」技能の質と量を競うコンテスト形式の競技に挑みました。一般的な脆弱性はたとえ危険度が高くても低ポイント、逆に難易度の高い脆弱性を発見すると高ポイントとなります。
今回優勝したのは、もっとも最高ポイントを獲得したチーム「binja」(写真左から3名)です。同チームは日本最高レベルのハッカーが選りすぐられており、世界的に活躍するCTF(ハッキング技術コンテスト)チームとしても有名ですが、今回は苦戦を強いられました。終了1時間前まで、難易度の高い脆弱性を発見した別の企業チームが先行し、後を追う展開に。最後の最後に難易度の高い脆弱性を見つけ見事逆転し、1位の賞金30万円を獲得しました。そのほかにも、同じ企業の社員で構成されたチームや学生などにも参加いただき、多彩な顔ぶれとなりました。
■ソフトウエアに潜む「クリティカルな脆弱性」が招く深刻な事態
クリティカルな脆弱性とは、「致命的で危険度の高い脆弱性」を表しています。
今回のような医療系ソフトウエアの場合、クリティカルな脆弱性が潜んでいることで、悪意のある攻撃者からの攻撃により「個人情報を含む患者情報のデータベースに侵入=個人情報の流出」「管理権限者にしかアクセスできないカルテ情報を操作=カルテの改ざん」「サービス不能による業務妨害=業務停止」といった深刻な事態を招く恐れがあります。
■医療業界にセキュリティの観点から警鐘を鳴らす
このコンテストの結果が、医療系ソフトウエアの現状を表しています。もともとクローズドの環境でシステムやネットワークを構築していましたが、昨今の「地域医療連携」や「システムのクラウド化」により、セキュリティレベルはそのままで、インターネットにさらされる状況になっていますが、相変わらずセキュリティの脅威という現実に対応できていないものが多いのです。我々は先端医療産業特区である神戸から、医療業界の現状に警笛を鳴らすべく、これからも取り組みを続けてまいります。(KDL セキュリティソリューション事業部長 三木剛)
■実際に起きた事故例
2017年10月11日、医薬品や医療機器の販売を手掛ける企業が不正アクセスを受け、約60万人の個人情報が流出した可能性があると発表しました。約80の医療機関がその企業が提供するサービスを、サイト上でできる予約機能などに利用しており、氏名や診察券番号、電話番号、メールアドレスなどが流出した可能性があるそうです。こういった犯罪からは、診察券や処方せんを偽造し不当に入手した薬剤をネット上で販売するなどといった事件が実際に起きています。
【会社概要】
社名 : 株式会社 神戸デジタル・ラボ
代表者 : 代表取締役社長 永吉一郎
所在地 : (本 社)〒650-0034 兵庫県神戸市中央区京町72番地 新クレセントビル
(東京オフィス)〒150-0022 東京都渋谷区恵比寿南1-1-1 ヒューマックス恵比寿ビル
設立 : 1995年10月
資本金 : 2億995万円
従業員数 : 161名(2017年10月現在)
URL : http://www.kdl.co.jp/
【本件に関するお問い合わせ先】
※取材など随時対応しますので、お気軽にお問い合わせください。
株式会社 神戸デジタル・ラボ
担当 :セキュリティソリューション事業部 三木、近藤、松本、寺岡
TEL :0120-996-535
E-mail :[email protected]