Health2.0開催、医療ソフトウェアに多数の脆弱性を発見 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

Health2.0開催、医療ソフトウェアに多数の脆弱性を発見

製品・サービス・業界動向 業界動向

2013年3月15日(金)、16日(土)に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter/Medical × Security Hackathon 2013」が開催された。経済産業省 東北経済産業局 平成24年度地域新成長産業創出促進事業として支援を受けている「Health 2.0」は、医療従事者だけでなく、大学生や開発者やセキュリティエンジニア、デザイナーなどが参加し、医療に関するアイデアやセキュリティの問題解決を行い、情報共有を行うことで創発的なコミュニティを築き上げることを目的としている。

「Health2.0」では「セキュリティハッカソン」というイベントが開催された。参加者はネットワーク上にセットアップされた医療ソフトウェアにアクセスし、脆弱性を見つけ出すために脆弱性診断やペネトレーションテストなどを行う競技で、優勝者には10万円が贈呈される。医療ソフトウェアとセキュリティという他に類を見ないイベントである。

このセキュリティハッカソンは、アルツ磐梯スキー場のゲレンデ全体が会場となり、標高約1300mの山の上でもハッカソンを行うことが可能だ。参加者の中には、1300m地点で競技を行っていたものもいる。

競技では国内でもよく使われている3つの医療ソフトウェアがサーバ上にセットアップされている。ソフトウェアの中にはオープンソースソフトウェアもあり、Webサイトからソースコードを入手することができるものもあった。参加者はネットワーク越しにアクセスを探したり、ソースコードを解析するなどして脆弱性を探す。

競技の2日目午後に猪苗代湖の遊覧船にて審査会が開催され、セキュリティハッカソン参加者によるプレゼンテーションが行われた。

参加者によるプレゼンテーションでは、主催者が用意した医療ソフトウェアに多数の脆弱性が発見された。中には任意のコードが実行できるような脆弱性も発見された。

優勝した千田雅明氏は「診断したソフトウェアの中には製品レベルのセキュリティをまったく持っていないものがあり、セキュアなコードを見つける方が難しいぐらいだ。」と述べた。なお、発見された脆弱性については、適切に開発者に報告されるという。

主催者によると、医療ソフトウェアは病院という閉じた環境で使われるということもあり、セキュリティがまったく意識されていないものが多いという。また、アメリカでは医療系アプリケーションのリリースはFDA(アメリカ食品医薬品局:Food and Drug Administration)の認可を取る必要があるため、一般的なアプリケーションのように脆弱性が発見されるたびに新しいバージョンをリリースすることもままならないという。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. IoT製品や組み込み機器などの脆弱性をハッカー視点で診断するラボを開設(PwCサイバーサービス)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×