Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 32
ストーリー by hylom
組み込み機器の悲劇 部門より
組み込み機器の悲劇 部門より
あるAnonymous Coward 曰く、
米国土安全保障省によると、CareFusion社製の医薬品分配システム「Pyxis SupplyStation」に1418個の脆弱性があることが分かった。このシステムは薬物を提供・管理する機械。処方箋を元にデータ入力すると必要な薬が出てくるシステムで、米国だけでなく海外にも輸出されているという(Help Net Security、国土安全保障省、ComputerWorld、Slashdot)。
脆弱性を抱えているのは、Windows Server 2003およびWindows XP上で動いているバージョン8.0~9.3までの各モデル。Windows 7系OSで動作するモデルでは問題ないという。見つかった脆弱性のうち715はクリティカルまたは重要度の高いもの。スキルの低い攻撃者でも簡単にリモート攻撃できるとしている。
米国では医療危機を狙ったハッキングが増えてきているそうで、先日にもMedStar Healthという病院でコンピュータがウィルス被害に遭い、患者のデータベースやメールシステムがダウンするというトラブルが発生しているそうだ(ギズモード・ジャパン)。
まさに医療危機なんですが (スコア:2)
要人が通っている病院で、患者に合わない薬を出すとか・・。
いろいろ効率が悪くないですか。
投機や詐欺の原因・情報源になります (スコア:2)
著名人の死期に関わる情報は投機の材料に使われます。
ジョブスじゃないですが「どこどこの有名会社の誰々は死が近いようだ」となると、それだけで株価が動くこともあるでしょう。
また著名人が薬物依存やアルコール依存の治療を受けていることなどが解ったら、それもスキャンダルになります。
著名人でなくても、「〇〇病のあなたは臨床試験の対象に選ばれました」という情報がほぼ正確に届いたら、普通は疑わないでしょう。
アメリカでは保険に入っていない人間の医療費が高いという問題がありますが(オバマケアについては現在どうなってる役解ってません)、そんなところで「安価で臨床試験に参加できます」となれば藁にもすがりたくなり、振り込め詐欺の材料として使えます。
要するに「医師の患者情報守秘義務」を破壊してしまうものですね。
Re:投機や詐欺の原因・情報源になります (スコア:2)
DBにアクセスできるならもちろんですが、入力された処方箋でも病気は予測出来ますね。
Re: (スコア:0)
穴があれば地球の誰かがつついてくるのは時間の問題です。
メリットの有無など考えても無意味と思います。
Re: (スコア:0)
そういうトラフィックが占める割合って将来的にどこまで上がるんだろうね…
Re: (スコア:0)
システムをコントロール下において、身代金を要求するとか…?
現実問題として、攻撃することにたいした利益がないシステムだから、あえて放置されていた部分はあるんでしょうね。
Re: (スコア:0)
タレコミにあるギズモード・ジャパンの記事には、脅されてお金を払ってしまった病院の例がありますね。捕まりそうな気もするけど。
あとは単なる愉快犯とか。
ただ、単なる愉快犯なら(愉快犯じゃなくても)やめてほしいですけどね。下手をすれば無差別大量殺人ですよ。
あっ、そうか。それが目的かも。
Re: (スコア:0)
ハッカーが他者を脅して金をゆする場合、ビットコイン払いを指定することが多いです。
実のところビットコイン自体の匿名性は低いですが、
犯人がTor経由で受け取り、ミクシング・サービス(共有ウォレット)にかけて、別のオンライン通貨に変換して…などの対策をしていれば、捕まえるのは困難だと思います。
XPで全く困ってない(笑) (スコア:0)
これ見てもまだそんなこと言えるの?ww
Re: (スコア:0)
って言いたいがためにMSがやったんですね!
Re: (スコア:0)
XPはこんなに危険だから諦めて10に乗り換えなさいというメッセージ
Re: (スコア:0)
うちはXpですがまったく困ってませんね(笑)
Re: (スコア:0)
XP()は今時トランザクションをサポートしてないゴミ [microsoft.com]
XP()はジャンクションをまともに扱えないゴミ [pentan.info]
XP()はメモ帳すらバグってるゴミ [mynavi.jp]
こんなので全く困らないってどんな使い方してるんだ?ww
Re: (スコア:0)
Windows XPが最新だった当時、どんな使い方してましたか?
よっぽど困っていたことかとお見受けします。
Re: (スコア:0)
ウィニーでヒャッハーしてましたね
Re: (スコア:0)
トランザクション無しでも困らないなら
DB操作の時もトランザクション使わずにやってみたら?
XPだからどうこうって問題じゃない (スコア:0)
こういうベンダーは7だろうが10だろうが、あるいはLinuxだろうが脆弱性を放置するだろう
Re: (スコア:0)
まあ、ベンダー判断か顧客判断か知らないけど、全くリプレイスのスケジュールを組んでいないって事だからね。
そりゃ何でやってもメンテ放棄でそのうちセキュリティ問題が顕在化するんだろうな。
Re: (スコア:0)
対岸の火事
実はまだ (スコア:0)
こないだWin10PCを納品したら、「XPモード使えないの?」と真顔で聞かれた。
もちろん、高価くてニッチなソフトが7(じゃなくてVistaか)以降への対応をサボってたり、開発元が店じまいしてたり、バージョンアップのメリットがエンドユーザーに見えなかったりするから。
正直のところ仮想環境は管理が面倒なのでふつーのユーザーには薦めたくないのだけど。
Re: (スコア:0)
Vista出てからもうすぐ10年やぞ
需要があるなら別の会社や新製品として出てるやろ
Re: (スコア:0)
しかも、独自のハードウェアを制御するのがそのソフトの役割だったりすると面倒。
そのハードウェアが何千万円もする20年ものだったりとか。
Re: (スコア:0)
制御用のボードが新しいOSに対応していないと悲劇です。
ボードがCバスだったりするともっと悲劇ですw
#GPIBやDIOのPCIとかのボードってあるんですね
Re:実はまだ (スコア:1)
大丈夫。
専用バスを高速PLCに繋いでエミュレーションするから。
それでダメならFPGAで専用基盤を作ります。
仕様が判らないと調査だけで相当の時間と金を頂きますし、結果として無理な時もありますが。
って、その程度のことを頼んで来るところって、困らないと何もやらないて事確定なんで、
実際は手間の割りに利益にならんし、何かあると無茶振りするから付き合いたくないけどさ。
#GPIBはUSBのボードがあった筈。DIOはコンテック辺りでも困らないだろ。
どうすりゃいいんやろね (スコア:0)
30年~40年のスパンで、セキュリティパッチだけ黙々とリリースしてくれるOSは無いものかね。
もちろん有償で構わないので。
OSが対応しないから/ハードウェアが対応しないから…
でシステムごと再構築するのも金のムダだと思う。
サーバーはありそうだけど、クライアントだと難しいか。
Re:どうすりゃいいんやろね (スコア:2)
汎用のOSやハードを選ぶのが悪い
最初から全部オーダーメイドにしておけばよかった
Re:どうすりゃいいんやろね (スコア:2)
Slackwareとかどうですか?
Re:どうすりゃいいんやろね (スコア:1)
検証用機材を40年維持してくれるハードメーカーも必要そうですね
Re: (スコア:0)
平気でユーザー切り捨てるのはMaicroshftだけですからね
Re: (スコア:0)
そこでSaaSですよ。
Re: (スコア:0)
彼らの欲しいのは自分に都合のいいWindowsだから。
お望みのOSを作ったところで誰も使ってくれずに潰れるのがオチ。
Re: (スコア:0)
そもそも30年前のWindowsって、Windows 1.0しかないわけだが
仮にWindows 1.0が現在もサポートされていたとして、使いたい奴いるか?