Health2.0開催、医療ソフトウェアに多数の脆弱性を発見 | ScanNetSecurity
2019.11.19(火)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

Health2.0開催、医療ソフトウェアに多数の脆弱性を発見

2013年3月15日(金)、16日(土)に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter/Medical × Security Hackathon 2013」が開催された。

製品・サービス・業界動向 業界動向
2013年3月15日(金)、16日(土)に福島県の星野リゾートアルツ磐梯スキー場にて「Health 2.0 Fukushima Chapter/Medical × Security Hackathon 2013」が開催された。経済産業省 東北経済産業局 平成24年度地域新成長産業創出促進事業として支援を受けている「Health 2.0」は、医療従事者だけでなく、大学生や開発者やセキュリティエンジニア、デザイナーなどが参加し、医療に関するアイデアやセキュリティの問題解決を行い、情報共有を行うことで創発的なコミュニティを築き上げることを目的としている。

「Health2.0」では「セキュリティハッカソン」というイベントが開催された。参加者はネットワーク上にセットアップされた医療ソフトウェアにアクセスし、脆弱性を見つけ出すために脆弱性診断やペネトレーションテストなどを行う競技で、優勝者には10万円が贈呈される。医療ソフトウェアとセキュリティという他に類を見ないイベントである。

このセキュリティハッカソンは、アルツ磐梯スキー場のゲレンデ全体が会場となり、標高約1300mの山の上でもハッカソンを行うことが可能だ。参加者の中には、1300m地点で競技を行っていたものもいる。

競技では国内でもよく使われている3つの医療ソフトウェアがサーバ上にセットアップされている。ソフトウェアの中にはオープンソースソフトウェアもあり、Webサイトからソースコードを入手することができるものもあった。参加者はネットワーク越しにアクセスを探したり、ソースコードを解析するなどして脆弱性を探す。

競技の2日目午後に猪苗代湖の遊覧船にて審査会が開催され、セキュリティハッカソン参加者によるプレゼンテーションが行われた。

参加者によるプレゼンテーションでは、主催者が用意した医療ソフトウェアに多数の脆弱性が発見された。中には任意のコードが実行できるような脆弱性も発見された。

優勝した千田雅明氏は「診断したソフトウェアの中には製品レベルのセキュリティをまったく持っていないものがあり、セキュアなコードを見つける方が難しいぐらいだ。」と述べた。なお、発見された脆弱性については、適切に開発者に報告されるという。

主催者によると、医療ソフトウェアは病院という閉じた環境で使われるということもあり、セキュリティがまったく意識されていないものが多いという。また、アメリカでは医療系アプリケーションのリリースはFDA(アメリカ食品医薬品局:Food and Drug Administration)の認可を取る必要があるため、一般的なアプリケーションのように脆弱性が発見されるたびに新しいバージョンをリリースすることもままならないという。
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

オムロンの制御システム向けソフトに複数の脆弱性(JVN) 画像

オムロンの制御システム向けソフトに複数の脆弱性(JVN)
三菱電機製シーケンサのFTPサーバ機能に脆弱性(JVN) 画像

三菱電機製シーケンサのFTPサーバ機能に脆弱性(JVN)
Intelが複数の製品に対するアップデートを公開(JVN) 画像

Intelが複数の製品に対するアップデートを公開(JVN)
マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC) 画像

マイクロソフトが月例セキュリティ情報を公開、悪用も確認(IPA、JPCERT/CC)
CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN) 画像

CMS「Movable Type」にフィッシングなどに遭う脆弱性(JVN)
「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会) 画像

「カードの不正使用を検知し凍結した」とする、MyJCB偽メール(フィッシング対策協議会)

インシデント・事故 記事一覧へ

「ジョブならnet」に設定誤り、企業と応募者にメールアドレスが流出(奈良県) 画像

「ジョブならnet」に設定誤り、企業と応募者にメールアドレスが流出(奈良県)
新システム開発の再委託先が不正アクセス、国体参加者と公認スポーツ指導者データが削除(日本スポーツ協会) 画像

新システム開発の再委託先が不正アクセス、国体参加者と公認スポーツ指導者データが削除(日本スポーツ協会)
プライベート情報全収集しマネタイズする社会実験応募者へメール誤送信、損害賠償実施予定(Plasma) 画像

プライベート情報全収集しマネタイズする社会実験応募者へメール誤送信、損害賠償実施予定(Plasma)
ダブルチェックを怠りお知らせメールを誤送信、1,305件のアドレスが流出(すららネット) 画像

ダブルチェックを怠りお知らせメールを誤送信、1,305件のアドレスが流出(すららネット)
電子カルテ上のデータを目視し入力したファイルを私用のUSBメモリで持ち出し紛失(島根大学) 画像

電子カルテ上のデータを目視し入力したファイルを私用のUSBメモリで持ち出し紛失(島根大学)
取材先情報が登録された社員用携帯電話を紛失(中部ケーブルネットワーク) 画像

取材先情報が登録された社員用携帯電話を紛失(中部ケーブルネットワーク)

調査・レポート・白書 記事一覧へ

PQCの脅威は意識しつつも、具体策の意識に欠ける日本(デジサート) 画像

PQCの脅威は意識しつつも、具体策の意識に欠ける日本(デジサート)
クラウドセキュリティで日本の遅れが顕著に(KPMGコンサルティング、日本オラクル) 画像

クラウドセキュリティで日本の遅れが顕著に(KPMGコンサルティング、日本オラクル)
サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ) 画像

サイバーリスク増大予想するも準備はできていないと考える日本(ファイア・アイ)
IoTセキュリティのホワイトペーパー公開、自治体などの先進事例も紹介(AWS) 画像

IoTセキュリティのホワイトペーパー公開、自治体などの先進事例も紹介(AWS)
注目の個人起点アイデンティティ活用「SSI」「DID」(野村総合研究所、NRIセキュア、JCB) 画像

注目の個人起点アイデンティティ活用「SSI」「DID」(野村総合研究所、NRIセキュア、JCB)
実際に金銭被害が発生したBEC報告が1件--J-CSIP運用状況(IPA) 画像

実際に金銭被害が発生したBEC報告が1件--J-CSIP運用状況(IPA)

研修・セミナー・カンファレンス 記事一覧へ

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは 画像

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは
サイバーミステリー作家とジャーナリストが偽情報について講演(FIJ) 画像

サイバーミステリー作家とジャーナリストが偽情報について講演(FIJ)
Mandiant Consulting カリスマコンサルタントとサイバーセキュリティ界の「笑わない男」 画像

Mandiant Consulting カリスマコンサルタントとサイバーセキュリティ界の「笑わない男」
編集長対談:JPAAWG に聞く、技術者の議論のやりかた 画像

編集長対談:JPAAWG に聞く、技術者の議論のやりかた
新技術に対応するセキュリティ運用とは [Internet Week 2019] 画像

新技術に対応するセキュリティ運用とは [Internet Week 2019]
「利用するツールの数とSOCの成熟度は比例しない」あなたのSOCをダメにする3つのパターン 画像

「利用するツールの数とSOCの成熟度は比例しない」あなたのSOCをダメにする3つのパターン

製品・サービス・業界動向 記事一覧へ

工場を要塞化するOTセキュリティ製品群を発表(トレンドマイクロ) 画像

工場を要塞化するOTセキュリティ製品群を発表(トレンドマイクロ)
「Windows 7よ永遠に」プログラム書き込み禁止でWindows 7を使い続けられるソフト(電机本舗) 画像

「Windows 7よ永遠に」プログラム書き込み禁止でWindows 7を使い続けられるソフト(電机本舗)
MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ) 画像

MITRE ATT&CKフレームワーク等に準じた疑似攻撃で対策の有効性評価(ファイア・アイ)
Cookie同意管理ツールなど、法規制に対応したデータ利活用で協業(GRCS) 画像

Cookie同意管理ツールなど、法規制に対応したデータ利活用で協業(GRCS)
Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック) 画像

Web上で行えるAndroidアプリの脆弱性診断サービス、LACへ譲渡(ラック)
日米 ISAC間でサイバー脅威情報共有を強化(総務省) 画像

日米 ISAC間でサイバー脅威情報共有を強化(総務省)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。
×