ぐうたら臨床工学技士のしがない日々

医療機器のサイバーセキュリティ上のリスクを減らす方法 「サイバーセキュリティはITの問題だ」といったアプローチはもはや通用しない。 By：David Reich and Steven McAleer, Foliage社 医療機器はますます、医療システムのネットワークやインターネット、データ・リポジトリ、分析エンジン、その他の医療機器といったものに接続するようになってきている。この「接続性」によって機器の臨床的価値は高まる一方、サイバー上の脅威に対する脆弱性も大きくなる。 この厳しい現実はもちろん、医療に限られることではない。2016年2月に発表された世界経済フォーラムのグローバル・リスク報告書によると、世界中の90%の会社はサイバー攻撃に対する防御が十分ではないと認識している。このような現状は、大量の顧客データを流出させた大企業や流通組織におけるセキュリティ侵害事件によって裏づけられている。 戦略国際問題研究所では世界経済のおけるサイバー犯罪のコストを年間4兆4,500億ドル以上と概算している。 患者の安全が脅かされる 医療・ヘルスケア分野では、個人情報への脅威となるだけでなく、患者の安全が脅かされるという点で、サイバー犯罪の影響力が決定的に異なる。2015年7月にFDAは、ある輸液ポンプのサイバーセキュリティ上の脆弱性について警告する安全性通達を発表した。FDAの通達では、不正アクセスのリスクに言及しながら、医療機関に対して機器をネットワークから外し他のシステムに移行することを推奨している。 2014年にFDAは、サイバーセキュリティを医療機器開発に組み込むことに焦点を当てたガイダンスを発表した。このガイダンスでは、最新の法制や審議中の法制に触れながら、製造業者の責任を増し、サイバーセキュリティ侵害に関連した罰則を強化している。これによって、医療・ヘルスケア製品の開発責任の状況は変わり、組織が適切なデューデリジェンスを遂行できないと、侵害があった場合により厳しい罰則が科される可能性がある。単に極秘情報が漏えいするという問題ではなく、この問題に対するFDAの高い関心は、サイバーセキュリティ侵害は重大な患者の傷害あるいは死亡につながる可能性があるという事実に基づいている。 また、医療提供者側も医療機器メーカーの責任に注目しつつある。...

サイバーセキュリティネタばかりでスンマソン（汗） これ関連のことを大学で勉強しているからとか、 これ関連のライセンスを狙っている（取った）からとか、 そういう訳ではないんです...（汗） この件に関して、 臨床工学技士に広く知っていただきたいというのは当然として、 広めなくてはならない（私的な？）事情ができてしまったもので... （事情については、またいずれ：苦笑） IoT医療機器への攻撃が急増！病院のサイバーセキュリティを強化する5つのステップ デジタルトランスフォーメーションより サイバーセキュリティリスクが世界的に高まる中、病院などの医療機関がサイバー攻撃の対象となるケースが増えている。特にインターネットに接続するIoT医療機器へのサイバー攻撃が世界的に増加している。 病院のサイバーセキュリティを強化するためにセキュリティ担当者は何をすべきか、5つのステップを紹介する。 高まる病院のサイバーセキュリティリスク 病院などの医療機関に対するサイバー攻撃が増加している。2015年頃よりMEDJACKと呼ばれる病院に対する一連のサイバー攻撃が増加し始めた。 ある調査によると、調査時から2年以内の過去に情報漏洩を経験した病院は全体の90%に達し、その原因の半分はサイバー攻撃によるものだったという。 一般的にウィルスソフトなどが利用されるパソコンと違い、病院で使われているIoT医療機器の多くには十分なセキュリティ対策が施されていない。病院のサイバーセキュリティを確保するため、担当者は何をすべきなのか。5つのポイントにまとめた。

最近、厚労省から日臨工宛に こんな↓通知が来てたのご存知？ 要は、院内の医療機器のサイバーセキュリティ対策を 製造販売業者（メーカー）と連携してやっといてね...ってこと（苦笑） 対象となる医療機器は... 医療機器のうちプログラムを使用したもの（医療機器プログラムを含む。） 付属品等にプログラムを含むもの 医療機器と接続して使用する又は併用される IT 機器等（医療機器に該当しないもので、プログラム単体の場合を含む。）を医療機器の構成（付属品等）として提供する場合 ...プログラムが絡んでない医療機器って、 近年、お目にかかってないけどな（苦笑） 最近、医療機器のIot化や遠隔監視なんてフレーズが流行っているけど、 セキュリティ対策が追いついているのか心配（汗） 海外じゃ神経質なくらい対策練っているようだけど、 日本って、利便性ばかりを求めて リスク対策は事が起きてからじゃなきゃ動かないところがあるからな（苦笑） 医療機器のサイバーセキュリティの現状と展望 Medtec Japanより By：茗原秀幸〔一般社団法人保健医療福祉情報システム工業会（JAHIS）セキュリティ委員会 委員長〕 1．はじめに 近年、オープンネットワークに接続された医療機器の問題がクローズアップされ、各国政府や業界団体などが対策について検討を行ってきた。患者安全の観点からのSafetyマネジメントと情報セキュリティの観点からのSecurityマネジメントの混合案件として、対応が注目されている。 本論文では、医療機器のサイバーセキュリティの問題点と、その解決に向けた国や工業会のアプローチについて述べる。

遠隔診療なんか、すでに診療報酬に収載され、 本格的に運用が始まってしまっているけど、 事前にどれほどサイバーリスクの検証が行われたんだろうか...？ 恐らくシステムを導入したメーカーと施設だけの、 クローズドな中でしか話し合われていないだろうな それが表に出てくるのは、 あたりまえのように広く使われるようになるか、 何か事象が起きてしまってから...（苦笑） リスクの検証なんて、過去の事例から、 こんなものだろうというレベル程度のことしかやってない 何か事が起きたら、得意の「想定外でした」で逃げる 日本特有の文化になりつつあるな（苦笑） （勝手なオレの想像だけどね：汗） ズブの素人でも、 インターネット上に存在する医療機器など IoTデバイスを見つけることができるご時世 （方法は後述） もっと危機感をもって臨まないとね（苦笑） 医療機器のサイバーリスクと社会的な想像力 デジタル・フォレンジック研究会 より １．医療機器におけるサイバーリスク 内閣サイバーセキュリティセンター（NISC）は、サイバーリスクから防衛すべき重要インフラに医療を指定した上で、重要システム例の一つに医療情報システムとともに、医療機器を挙げている。 こうしたなか、厚生労働省は２０１５年４月に「医療機器におけるサイバーセキュリティの確保について」という通知（薬食機参発 ０４２８ 第１号/ 薬食安発 ０４２８ 第１号）を発出しており、日本でも医療機器についてのサイバーリスクマネジメントの重要性が高まっていることは周知の通りである。

英国で一昨年、医療情報システムがサイバー攻撃により診療が停止し、 全世界的なニュースとなったことは記憶に新しいところ（汗） https://oompa-de-loompa.blogspot.com/2017/05/blog-post_16.html 昨年、日本の医療機関でも、初めて同様の事例によるインシデントが発生!? https://oompa-de-loompa.blogspot.com/2018/10/blog-post_30.html サイバー攻撃では初動対応が重要なんだけど、 攻撃や感染が発見されても、 医療機関では、どのように対応すべきか、 末端の医療従事者はもとより 経営陣や事務方だって、 未だによくわかってないのが実情 危機感、薄っいんだよな！（苦笑） 米国では、医療を含む、金融、電力、ICTなど19の業界ごとに、 ISAC（アイザック）と呼ばれる情報共有組織があり、 サイバー攻撃に関する情報を収集し、 医療ISACが医療機関に提供しているんだけど、 日本では、電力や金融などの業界では、すでに動いているんだけど、 医療業界はてんで遅れてるんだよね（苦笑） ちなみに、米国の医療ISAC（H-ISAC）は、 医療情報ベンダー、医療機器ベンダー、行政等のステークホルダーも参画し、 医療機関とともに、 情報セキュリティ・インシデンテント対策の対応を行っている 日本では、前述のとおり、医療ISACの設立は遅れていて、 医療分野における情報セキュリティの重要性を啓発を目的とした、 メディカルITセキュリティフォーラム（MITSF）という非営利的団体が、 ISACに類似した役割を担っっている（米国H-ISACと事業提携） http://www.mitsf.jp/ ISACに似たものとして、 日本医師会が事務局となって、 情報共有・分析を担う組織として「医療セプター」を設置 実はこの「医療セプター」って、 10年以上前に設立されとったんだけど、 活動どころか、名前すら耳にしたことがなかったけどな... （オレだけか？：汗） そんな医療セプターが、 近年の医療機関へのサイバー攻撃を危惧してか？ いよいよ本格始動？ 「医療機関へのハッキング」はもう起こっている。セキュリティ対策の...

半年前と、少々古いネタだけど、 前・総務大臣で、現・自民党サイバーセキュリティ対策本部長の 高市早苗衆議院議員が 自身のコラム（ブログ） で 医療機器のサイバーセキュリティについて言及されとった 水面下では、 この分野への臨床工学技士の関わりについても なんらかの動きがある模様...注視せねば (め_め)ｼﾞｯ... 医療・水道分野のサイバーセキュリティ （2018年03月08日） 早苗コラム（衆議院議員 高市早苗ブログ）より 今週の自民党サイバーセキュリティ対策本部では、「重要インフラ１３分野」のうち、「医療」「水道」の分野について、所管する厚生労働省から説明を聴取し、議論をしました。 近年、医療機関において、マルウェア感染などによる個人情報や診療情報の流出に加え、診療業務に関わる業務システムが利用できなくなる被害が発生しています。 患者情報、診療履歴、保険・カード支払い情報などの個人情報が電子的に取り扱われるようになり、これらの機密情報は、攻撃者にとって価値が高く、標的とされています。 今後、医療分野では、ネットワークを介した医療情報の共有や遠隔運用の取組みが更に進み、IoTやスマートフォンから送信されるバイタルデータなどを活用したヘルスケアへの取組みも拡大していくでしょう。　　 私達にとって、予防医療や遠隔医療によるメリットは大きいのですが、様々なデバイスを通じて医療機器や業務システムが不正アクセスされる可能性が増加しますから、機微情報の流出や、生死に関わる重大インシデントに繋がるリスクも懸念されます。 （中略） 国内外の主なインシデント事案を紹介します。

2016年10月と、ちょっと古い記事なんだけど、 医療機器のサイバーセキュリティに関して、 少しでも危機感を感じていただければ幸い ...と思ったので、紹介しておきますね（長文注意！：笑） 事例から学ぶ病院経営の落とし穴！医療機器のコンピュータウイルス対策 proas OFFICIAL BLOGより 医療機関では医事会計システムを始め、電子カルテやオーダリングなど診療情報や患者情報を扱うシステムに対してのセキュリティ強化に目を向けがちですが、さまざまな被害事例を見ると、人工呼吸器、麻酔システム、ペースメーカー、MRIなど現場で使われている医療機器がウイルスに感染し、情報漏洩に繋がる事故が現実に発生しています。 医療機器はネットワーク上閉じた世界＝閉域網で稼働するものが多いです。実は、こうしたウイルスの危険性が少ないと見られがちな閉域網がセキュリティ上の落とし穴になっているのですが、みなさんの病院は大丈夫でしょうか？ 今回編集部ではIPAが報告している「医療機器における 情報セキュリティに関する調査」をまとめました。事故事例や脆弱性を紹介しながら医療機器のウイルスが感染したらどうなるのか？どのように未然に対処すればいいのか等、是非考えながらお読みください。 セキュリティ事故の報告例 ■米国ボストンの Beth Israel Deaconess Medical Center での胎児モニタへの感染 米国ボストンの Beth Israel Deaconess Medical Center において、高リスク妊娠の女性向けの胎児モニタ装置がマルウェアに感染され、装置のレスポンスが遅くなったことが報告されている。患者に直接の被害はなかった。Philips製とされている。 ■金沢大学附属病院での医療機器のウイルス感染事例 国立大学法人 金沢大学附属病院において、各部門で個別に導入したシステムから、他の部門の機器にウイル ス感染が広がり、診療業務への影響が発生。USBメモリ経由での侵入であった。ウイルス検索・駆除ツール導入後のウイルスチェックでは1000件近くの不正プ ログラムが検出された機器もあったという。 ■インターネットからア クセス可能な医療機器 の脆弱性 ICS-CERT Monthly Monitor （※1...

長文だけど、最後まで読んでいただけると嬉しいです（笑） いきなりだけど、 「医療」と「サイバーセキュリティ」というワードで、 まず思いつくことと言ったら？ 電子カルテなど医療情報システムからの、 個人情報の流出（紛失）？ 患者情報の入ったUSBメモリやノートPCを紛失したとか... ネットワークセキュリティが甘かったため侵入され情報を盗まれたとか... 手作りのサーバーで情報管理していたら、故障でデータが消失したとか... ...ま、もちろん個人情報の管理って大事なんだけど、 医療施設で、これ↑の管理って誰がやってる？ 大方、パソコンやネットワークに詳しい事務部門の方？ 中には"診療情報管理士"か"医療情報技師"のような、 "医療情報"を扱う"認定資格"保有者を担当にしているのでは？ しかし、医療施設のサイバーセキュリティって、 なにも"医療情報（データ）管理"のことだけじゃなく、 近年は、もっと重要で、重大な事項が懸念されている 最近、医療機器のIoT化とか、 遠隔診療が何かと話題になってるよね 遠隔診療に関しては、政権与党（安倍ちゃん）の肝入りで、 来春の診療報酬改定で、手厚く評価される見通しなので、 一気に広まるものと思われる でも、これ（遠隔診療やIoT）でできることって、 "医療（個人）情報"のやり取りだけじゃないよね...

医療機器に迫るセキュリティーの脅威 IoT化で医療機器のハッキングのデモが相次ぐ FDAがセキュリティー管理のガイドラインを公表 日経デジタルヘルスより 医療機器に迫るセキュリティーの脅威 ネットワークに繋がる医療機器が増え、セキュリティーを考慮しなければならなくなっている。医療機器はセンシティブな個人情報を扱うとともに、命にも直結する。実際に海外の展示会では、医療機器のハッキングのデモが実施されている。FDA（米国食品医薬品局）やHealth Canada(カナダ保健省)もこうした状況を危惧し、対策に乗り出した。医療機器のセキュリティーの脅威にはどのようなものが考えられ、どのような対策が有効なのか。実例を挙げながら解説する。 医療現場でIoT化が進んでいる。今やネットワークに接続された医療機器は各種診断装置のほか、MRI（磁気共鳴画像法）装置やCATスキャン（コンピュータx線体軸断層撮影法）装置といった検査機器のデータを管理する画像保管通信システム（PACS）、実験装置、輸液システムなど多数挙げられる。患者用ベッドでさえ、ネットワークに接続される時代である。 （出所：PIXTA） 医療機器メーカーは、病院全体でデータを監視および収集するためのタブレット端末などを提供しており、収集したデータをアプリケーションで可視化して医療業務の効率化に役立てようとしている。

医療機器のIoT化などに大きな期待を寄せている昨今 利便性を良くしようとするのはイイが 機能的側面ばかり注目する前に、 安全性の担保（対策）を同時に考えていかないとね 懸念されていたことが現実に見つかったようだし（汗） 心臓ペースメーカーのモニタ装置に脆弱性、メーカーがパッチ配信 悪用されれば、心臓ペースメーカーのペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。 ITmediaエンタープライズより 米食品医薬品局（FDA）は1月9日、米医療機器メーカーSt.Jude Medical製の心臓ペースメーカーなどに使われているモニタ装置の脆弱性に関する情報を公開した。同社はこの脆弱性を修正するソフトウェアパッチの配信を開始している。 FDAによると、脆弱性はSt.Jude Medicalのホームモニタ装置「Merlin@homeトランスミッター」で確認された。トランスミッターは患者の自宅に設置する装置で、患者に埋め込まれた心臓ペースメーカーや除細動器などの装置と無線で通信し、データを取得して医師に送信する目的で使われている。 脆弱性を悪用されれば、他人がトランスミッターに手を加えて患者に埋め込まれた心臓装置を遠隔操作し、バッテリーを消耗させたり、ペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。

世界中、大騒ぎだったね こんな大規模なサイバー攻撃、オレの記憶では久々だな（汗） 今回は医療機関もターゲットにされたということで、 他人事ではないと、危機感を募らせる今日このごろ（苦笑） サイバー攻撃、メール添付ファイルに注意を 厚労省が日医などに事務連絡 CBnewsより 　世界各地で大規模なサイバー攻撃による被害が出ていることを受け、厚生労働省は、日本医師会などに対し、注意喚起の事務連絡を出した。国内でも病院などで被害が出たと報告されており、厚労省は、不審なメールの添付ファイルを開かないよう呼び掛けている。【新井哉】 厚労省によると、メールのリンクや添付ファイルに関する注意事項を重要インフラ関係事業者に周知するよう、内閣サイバーセキュリティセンター（NISC）から指示があった。 事務連絡では、サイバー攻撃に関連する情報提供があった場合、厚労省医政局研究開発振興課に連絡するよう要望。情報セキュリティ対策に取り組んでいる一般社団法人JPCERTコーディネーションセンターのサイトに掲載された対策を参考にするよう促している。 同センターは14日、今回のサイバー攻撃に関連した注意事項をサイトに掲載。それによると、被害が報告されている「WannaCrypt」と呼ばれるマルウエアに感染した場合、端末のファイルが暗号化され、復元のために金銭を要求する日本語のメッセージが表示される。 感染の拡大を防ぐため、同センターは、 ▽ウイルス対策ソフトの定義ファイルを最新版に更新する ▽メールを開く際は添付ファイルや本文の内容に十分注意する ▽OSやソフトを最新版に更新する－ことを推奨している。 今回、使われたのは「ランサムウェア」 感染すると、ドライブ（HDD、SSD）の内容を暗号化（ロック）してしまい、 使用不能にしてしまう ウィルスを作成（暗号化）した本人は解除できるので、 解除する代わりに、金銭を要求してくることから、 身代金要求型ウィルス（マルウェア）と呼ばれている パソコンを初期化してしまえば治るんだけど、 ロック（暗号化）されてしまった、 文章や画像などのファイルの復旧は不可能（汗）

病院の大半がマルウェアに感染--医療機器のIoT化で高まる危険 CNET Japanより BlackBerryは、病院などの医療機関がサイバーセキュリティの脅威にさらされているとして、 ブログ で注意を呼びかけた。具体的には、医療機関の75％がマルウェアに攻撃されており、その多くがランサムウェアによる攻撃だったという。 現代の病院では、会計システムや電子カルテのシステムといったデジタルプラットフォームが相互接続されており、モノのインターネット（IoT）導入も進んでいる。こうしたシステムで管理される患者の健康やプライバシにかかわる情報は、攻撃者にとっては極めて価値が高く、サイバー攻撃の標的にされやすい。 IoT対応のヘルスケア機器は、患者や機器の状態などをリアルタイムに取得できるため、医療行為にもたらすメリットが大きい。ただし、IoT機器には、セキュリティの面でアキレスけんになる危険性もある。 例えば、米国で2016年秋に発生したマルウェア「Mirai」による大規模な分散型サービス妨害（DDoS）攻撃は、IoTボットネットを悪用したものだった。このときサービス停止に追い込まれたのはNetflixやTwitterだが、病院のシステムが攻撃対象になってもおかしくない。インターネット接続された輸液ポンプ、心臓モニター、放射線装置、呼吸装置などが攻撃されたら、命にかかわる問題を引き起こしかねない。 そこで、BlackBerryは以下のとおり、10項目のセキュリティ対策を提案した。

ネットワークは思わぬ「落とし穴」 医療機器をハッキングから守る5つのセキュリティ対策 Teck Taget Japanより 医療機関が扱うエンドポイント（ユーザーが直接操作する端末）が多様化している。 それに伴いサイバー犯罪者が病院のネットワークにアクセスする攻撃対象領域も拡大している。 輸液ポンプ、携帯型心拍計などの医療機器はハッキングに対する「免疫」がない。 攻撃を受ければ、患者の健康に深刻な影響をもたらす恐れがある。 最高情報責任者（CIO）などIT部門の責任者は、潜在的なサイバー攻撃のリスクを緩和するため、医療機器のセキュリティを適切に確保する必要がある。 パターンマッチングをベースにしたマルウェア対策製品など従来のセキュリティ製品だけでは、医療機器のセキュリティを保つのは難しい。 だが対策は他にもたくさんある。 5つの対策を紹介する。 対策1． 医療機器ベンダーの推奨事項に従う どの医療機器ベンダーも、自社製品のセキュリティ確保に関して独自の推奨設定を提供している。 そうしたベンダーの推奨事項に従って、医療機器のセキュリティを確保する。 対策2． 医療機器の正常性を保つ ソフトウェアを最新版に更新し、正常性を保つことも一つの方法だ。 IT担当者は、確実かつ定期的に医療機器のソフトウェアを更新し、HIPAA（米国における医療保険の相互運用性と説明責任に関する法令）準拠のため暗号化を有効にする必要がある。 医療機器の関連情報を全て追跡するには「アセットトラッキング」製品が有効だ。 アセットトラッキング製品は、ネットワークに接続するさまざまな機器をリアルタイムに追跡して、イベントアラートを監視するのに役立つ。 Telit IoT PlatformsやSierra Wireless、Bastian Solutionsといったベンダーがアセットトラッキング製品を販売している。 対策3． ネットワークをセグメントに分割する ネットワーク管理者は、医療機器が接続するネットワークへのアクセスを制限することで、医療機器周辺に境界領域を作成できる。 これにより医療機器を外部の脅威から隔離しながら、データを格納するサーバと引き続き通信可能にする。 例えばCisco Systemsは、ネットワークを複数の論理的なセグメントに...

「医療データは闇市場でクレカ情報より約20倍の値がつく」　医療IoT機器のセキュリティを死守するために ITmedia NEWSより 医療のテクノロジーは、あらゆる業界や場所で革新的な進歩を遂げています。かつて病院のベッドに据え置きして使う必要があった医療機器は、今やワイヤレスかつポータブルになっています。身に着けるタイプのフィットネス機器も多くの人に普及しつつあります。 米国のみで使える「Apple Watch」の心電図機能 これらの利便性に注目が集まっていますが、インターネットに接続されている医療機器のセキュリティ対策は特に気を付けるべきです。潜在的な危険から人々を保護することにいつ向き合うか、それはまさに今でしょう。 高騰する医療データの価格 闇市場で医療データの売買が加熱しています。医療機器業界へのサイバー攻撃は増え続けており、これは主に医療データの高騰によるものです。闇市場で医療データはクレジットカード情報より最大20倍も高く売れるといわれています。つまり、攻撃者にとって医療機関は魅力的な攻撃対象となるのです。 しかし、多くの医療機器ベンダーは適切な予防措置を取れず、自社や患者を脅威から守り切れているとはいえない状況です。 ネットワークにつながる医療機器のセキュリティ対策 セキュリティ向上の鍵を握るには、ネットワーク化された医療機器にあります。 MRIやX線装置、心電図モニター、超音波、輸液ポンプなどの医療機器は、患者、医療従事者、病院管理者にセキュリティリスクをもたらします。ネットワークにつながる医療機器が一般化するにつれて、これらの機器のセキュリティ確保がますます重要となるのです。

輸液ポンプ、インスリンポンプ、ペースメーカーなんかで ハッキングによる遠隔操作が懸念される脆弱性が発見され話題になっていたよね（汗） 関連記事：「 医療機器の脆弱性が、みるみる明らかに（汗） 」 あ...ちなみに透析装置のハッキングは、一応オレが既に実証済み（笑） 「 透析装置にハッキングを試みた ＼＿ﾍ(ω｀*)ﾎﾟﾁｯﾄﾅ 」 ...そんでもって、 いよいよ人工呼吸器や麻酔器にも見つかった模様（汗） 病院の麻酔器と人工呼吸器に遠隔操作可能な脆弱性 TechCrunch Japanより 多くの病院で利用されている麻酔器と人工呼吸器で使われているネットワーキングプロトコルに脆弱性があることをセキュリティー研究者らが見つけた。悪用されると医療機器の誤動作につながる可能性もある。 医療セキュリティー会社のCyberMDXの研究者らによると、医療機器のGE AestivaおよびGE Aespireは、病院のターミナルサーバーに接続されていると、コマンド送信に利用される可能性がある。それらのコマンドは、アラームの停止や記録の改変などができるほか、悪用されると人工呼吸器や麻酔器で使用する麻酔ガスの組成を変えることもできると、研究者らは言っている。 米国土安全保障省は米国時間7月9日に勧告を発表し、この脆弱性の悪用に必要な「スキルは低い」と語った。「問題の機器は独自プロトコルを使用している」とCyberMDXの研究責任者であるElad Luz（エラッド・ルス）氏は言った。「コマンドを推測するのはごく簡単だった」。 解読されたコマンドの1つは、装置が旧バージョンのプロトコルを使用するよう強制できる（旧プロトコルは互換のために今も装置内にある）とルス氏は言う。さらに悪いことに、どのコマンドにも認証は必要ない。同氏によると「どのバージョンでも、まず一番古いプロトコルに変えるよう要求するコマンドを送り、そのあとガス組成を変える要求を送信することができる」とのこと。 「装置がターミナルサーバー経由でネットワークに接続されている限り、通信プロトコルに詳しい者ならだれでも、さまざまなコマンドを悪用することができる」。言い換えると、装置がネットワークに接続されていなければずっと安全だ。CyberMDXは、2018年10月にこの脆弱性をGEに知らせ...

人口8千人弱...四国のほぼ真ん中、 徳島県の北西部にある自然豊かな静かな町「つるぎ町」 この小さな町の医療を担う 病床数120床ほどの公立病院で 事件は起きた！？ （ 投稿の続きは記事の後↓ ） ランサムウェア攻撃・身代金要求で町立病院が患者の新規受け入れ停止…テロの標的にもなりうる医療情報、どう守る? ABEMA TIMESより 「データを盗んで暗号化した。復元して欲しければ連絡しろ。金を払わなければデータを公開する」（原文は英文）。 先月末、徳島県つるぎ町にある町立半田病院のプリンターから出てきた不審なメッセージ。システム管理者が調べたところ、サーバーが「ランサムウェア」と呼ばれる身代金要求型ウイルスに感染し、約8万5000人分の電子カルテが閲覧不能となったほか、医療関係や会計システムがダウン。患者たちの情報が無い中、医師・職員たちは今も手作業で治療や診察、運営にあたり、新規の患者受け入れを停止する事態に陥っている。 【映像】デジタル化の弊害?"生命の情報"どう守る? 医療機関のセキュリティに詳しい群馬大学医学部附属病院の鳥飼幸太准教授は「多くの病院はオンラインストレージを使ってバックアップをしているが、そこの部分にセキュリティの構築がされていなかったために侵入されてしまったケースではないかと考える」と話す。 「病院のシステムは病名の共有やアレルギーのチェック、手術時の左右の取り違えの防止などにも使われているので、非常に深刻な問題だ。そうしたことが機械でできない中、この病院で患者さんが亡くなられるようなことが起きていないということは、医療者が非常にすばらしい働きをされているのだと思う。また、検査のためのシステムや、診療報酬を算定する場合の医事会計システムもほとんどの病院に入っているが、これらが停止しているとすれば、全てを手作業でやらなければならない状態にあるはずだ。ご苦労は相当なものだろう」。 増加するランサムウェアによるサイバー攻撃。去年11月にはゲーム大手カプコンが顧客情報などを抜き取られ、データの“身代金”として約11億円を要求される事件が発生。アメリカでも今年5月、最大級の石油パイプライン運営会社がハッカーグループの攻撃を受けてパイプラインが一時全面停止、ガソリン価格高騰の要因になるなど、市民生活にも大...

コロナ禍の自粛要請も解除になったけど、 第2波（北海道では第3波）を警戒してか、 まだまだコロナ前に戻ったとは言い難い雰囲気の今日この頃、 皆様はいかがお過ごしでしょうか？（笑） 職場では、コロナ感染拡大を懸念して 取引業者の来院を自粛してもらっていたけど、 先日よりこれを解除!? すると、ここぞとばかりに 面会アポの連絡が入りまくり（汗） コロナ自粛で、 業者さん方もストレスが溜まっておったんだろうねぇ... いつもに増して多弁なこと...（苦笑） キチンとマスクして 飛沫、飛ばさんように、 しっかり防護してきてよね！ 面会してほしけりゃ、ここまでやってもらおうか（笑） 診療報酬改定とコロナ騒動が重なったけけど、 これに乗じて値引きを渋ったりと 価格の吊り上げを画策したメーカーがポツポツ...（怒） それ相応の対応をとりましたからねぇ、N◯さん（爆） コロナとは関係ないけど、 当院が開業して、もうすぐ5年... 一部の医療機器では更新を検討しなくてはならない 透析装置だって、 法定耐用年数（最大リース契約）7年、 延長リースにするにしても 使用に耐えるのは10年程度が限度だろうから 今のうちに、更新やリプレースなど 先を見越した計画を立てとかなきゃならんね 透析装置のメンテは、 部下くん達に丸投げしてるんだけど メーカー推奨できちんとこなしてくれてるようだから、 寿命は全うできそうだけどね（笑） ちなみにFNWのハードウェアの 保守契約は5年... まだ後継システム（クラウド型？）が 発売されていないので とりあえず更新ではなく リプレースで継続使用となるかな？ 何にせよ、事前の情報収集が大事 既存メーカーに拘らず 広くお話を聞いてみている最中（笑） あと、サイバーセキュリティネタも余念なし（笑） 医療機器に対して 単にネットワーク越しの攻撃ができることは 証明できたけど... こんなところや... こんなところから... データを吸い上げて、 情報の奪取を試みているものの、 しっかり暗号化されてるようで...（苦笑） 次のターゲットは、これの解析だな（笑） ハッシュ暗号化解析ツール「Hashcat」 厚労省（IMDRF）から、こんな↓通知が出されたよね 今後、医療機器のサイバーセキュリティに関しては メーカーは、我々（現場の医療従事者）を 無視してすすめるわけに...

4年もの（通信制）大学生活を終え、 なんとなーく、燃え尽き症候群!? 4月以降、ダラダラゴロゴロ過ごす毎日 (＇д＇)ﾎﾟｹｰ せっかく情報系の大学で学んだんだから、 この分野について改めて極めていこうとしなきゃ 意味のない4年間だった...ということになってしまう（汗） ま、そちら（情報系）に 転職しようというわけではないので 現職（医療系、臨床工学技士）の中で 活かしていければ幸いだよね（笑） 医療機器に接続または関わりのある情報システム ...例えば透析通信システムなんかの システム（ハード＆ソフトの）管理領域に進出するとか、 使用者教育や保守管理を行うとか、 業務管理や勤怠管理、スタッフとの連絡ツールなどの グループウェアをお金をかけずに構築するとか ...できれば良いよね ｱﾚﾓ(｡Дﾟ;≡;ﾟДﾟ)ｺﾚﾓ(ﾟmﾟ;)ﾏﾀｱﾄｻｷｶﾝｶﾞｴｽﾞﾆ... まず手始めに、 タイムカードアプリなんかを作ってみた (*^_^)r[出社]ｶｼｬ うちは小さいクリニックなので、 タイムカードで勤怠管理が面倒と...院長（苦笑） 代わりに、手書きの出勤簿をオレらに書かせるという... オレらが面倒くさいっしょ！

医療機器のサイバーセキュリティーに穴？- 脅威増大、厚労省が指針策定へ CB newsより 医療機器のウイルス感染や乗っ取りを防ごうと、厚生労働省が医療機器のサイバーセキュリティーのガイドラインを策定することが18日までに分かった。ここ数年は医療機関のウェブサイトが不正アクセスの被害を受けるケースが続出。医療機器がつながった病院内のシステムに被害はなかったが、医療機器が被害を受けた場合、患者の生死を左右する事態になりかねず、関係者は警戒を強めている。厚労省も「リスクマネジメントにより対策を実施する必要がある」としており、今年度内にガイドラインを取りまとめる方針だ。 医療機器のセキュリティー対策をめぐっては、米食品医薬品局（FDA）が2013年、医療機器や病院内のネットワークシステムがサイバー攻撃の標的になる可能性などを挙げ、医療機器メーカーや医療機関が適切な対策を講じる必要性を指摘。不正や有害な動作を行う意図で作成された「マルウェア」にネットワーク接続型の医療機器が感染するといった具体的なケースも挙げていた。 国内でも同様の事例が起きている。独立行政法人情報処理推進機構の報告書によると、金沢大附属病院で、各部門で個別に導入したシステムから、他の部門の機器にウイルス感染が広がり、診療業務への影響が発生。USBメモリ経由の侵入によるもので、ウイルス検索・駆除ツール導入後のウイルスチェックでは、1000件近くの不正プログラムが検出された機器もあったという。 こうしたセキュリティー上の脆弱性を踏まえ、内閣官房の情報セキュリティーセンターが14年に公表した、重要インフラの情報セキュリティー対策に関する行動計画では、医療機関を「重要インフラ事業者」、電子カルテや遠隔画像診断などを「重要システム」として位置付け、注意を促していた。 ■サイバー対策、旗振り役の厚労省が“被害者”に

各社の心臓ペースメーカーから計8000もの脆弱性、米セキュリティ企業が発見。現場の甘い認識も指摘 ほかの機器は大丈夫か engadget日本版より セキュリティ企業WhiteScopeが、埋込み式心臓ペースメーカー用のプログラムソースから8000もの脆弱性を発見したと公表しています。埋込み式心臓ペースメーカーについては、今年1月に米食品医薬品局(FDA)が心臓ペースメーカーの多くに外部からハッキングされるおそれがあると警告を出していました。 WhiteScopeは、4つの企業が製造しているペースメーカーを調査したところ、合計で8000もの脆弱性を発見したとのこと。また調整やモニタリングツールの多くはユーザー認証機構がなく非常に危険だとしています。またそのソースコードは似通っており、製造企業間でなんらかのやりとりがあることも伺えるとのこと。 さらに問題として、本来は製造者の管理下におかれるはずのそれらツール類が、eBayなどで普通に出回っていることも指摘。研究者が実際に入手した調整ツールからは、使用していた患者の社会保障番号から氏名、電話番号、病名などがそのまま残されていました。 ジョンズ・ホプキンス大学のコンピューターサイエンス研究者マシューグリーン助教授は、医療機器に認証手順を加えてもそれがパスワードを記した付箋を貼ることにになるだけだという現場の状況もあり、その場にいる医療スタッフなら誰でも情報にアクセス可能になったと説明します。