パスワードを忘れた? アカウント作成
12829379 story
医療

ハッカーが医療業界への攻撃を強めている理由 19

ストーリー by hylom
手間の割に価値が高い、と 部門より
あるAnonymous Coward 曰く、

近年医療環境に対するサイバー攻撃は増加する一方だという(HELP NET SECURITYSlashdot)。

サイバー犯罪者にとって、医療データにはクレジットカード詐欺やほかのネット詐欺よりもはるかに価値があるという。医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。近年病院の情報化が進んでおり、医療機器を含むさまざまな機器が病院内ネットワークに接続されていることも病院が狙われる理由だという。

にも関わらず、病院側は真剣な対処を行っていないという。強力な認証設定や複数の装置に並列のログインの抑制、重要な装置と医療データ格納サーバーをインターネット接続から切り離すなどの基本的なセキュリティ対策にも失敗している。処方薬自動分配器のようなシステムが改ざんされる自体になれば、人命の損失につながる可能性もあると指摘されている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 地方都市の広島市で既に医師会を狙った標的型攻撃の事例もあるし身近な問題です。
    職員30人から500人規模の医療機関での対策を考えると
    (1)「LanScope Cat」「SKYSEA Client View」などセキュリティソフト導入の必要あり
    (2)導入のため専任エンジニア1人が現実には必要(パートタイム勤務でやや無理?)
    (3)現場の職員にとって不便さが増えるので、職員教育が必要
    (「USBメモリー持ち込み禁止とはけしからん」とワガママ言う人間を黙らせる作業など)
    という手順になると思います。お金、ヒト、手間がかかります。
    初期費用は当初の3年間合計で200-400万円程度かと思いますが、ランサムウェア身代金の金額や
    情報流出時の信用低下を考えるとほぼ妥当な額かなと感じます。
    (泥棒に1000万円盗まれるよりは防犯アラームに300万円かける気持ち)
    参考記事ランサムウェアに感染した病院... [itmedia.co.jp]ロサンゼルスで、1万7000ドル相当を払った例もどうぞ。

  • by Anonymous Coward on 2016年06月30日 10時04分 (#3038941)

    1. 自体
    2. 事態
    3. 辞退
    4. 字体

  • by Anonymous Coward on 2016年06月30日 11時33分 (#3038980)

    ハッカーって攻撃に対してそれらしい理由をつけるけど、結局は「儲かっている、勝ち組を狙う」というのが最近目立つな。
    ただの僻みか?

    まぁ、例えば、未だに4桁の暗証番号で「顧客の情報を守る」という銀行とか、クレジットカードなんかのようなセキュリティなんて端から考えていないようなシステムが現存していることには、不安を感じたりはするのだが。

    • by Anonymous Coward on 2016年06月30日 12時11分 (#3039006)

      ただの僻みか?

      ただの金もうけだろ。押し入るならからのあばら家より金庫。
      金を持っているかどうかってのはセキュリティの強弱には直接結びつかないしハッカーはハッカーで高度な技術を持った連中も多いから蟷螂の斧ってのは的外れ。

      親コメント
    • by Anonymous Coward

      4桁暗証番号は、小額決済システム用です。
      大金を決済できる(預金されている)キャッシュカードを常時携行すること自体危険ですし。

  • by Anonymous Coward on 2016年06月30日 12時36分 (#3039027)

    VBで書かれた基幹系が走ってるようなシステム(一式)はまた別格として、
    文書作成にかかわる端末のWUはどうすべきか
    例によって、専任担当者はなく、WSUSを置くことはできない
    Officeは、最寄の電気店で「入ってるものを買ってくる」のでMSO

    電源を除く絶縁、電気的に。ってことしかないのかな

    • by caret (47533) on 2016年06月30日 18時07分 (#3039316) 日記
      プレインストール版 (PIPC) の Office はクイック実行 (C2R) 形式なので、Windows Server Update Services (WSUS) で更新プログラムを制御できない。なので、そもそも WSUS を導入するメリットが少ないと思う。
      厳格に管理したいなら、ボリューム ライセンス (VL) で MSI 形式の Office を利用することになるけど、そうでなければ、Windows Update は自動更新で良いのではないか。

      Windows 10 の機能アップグレードに関しては、Current Branch for Business (CBB) に設定するとか、Windows Update for Business で管理すればよかろう。
      親コメント
      • by Anonymous Coward

        通常のWUにつなぐなら、絶縁になりません。

    • by Anonymous Coward

      個人院や、それにちょい毛が生えたレベルなら、
      医療関係専門のOA屋をよんで、ソリューション買って丸投げでおk
      遠隔で丸ごと管理してくれるよ。

      専任の担当置くより安いが、若いにーちゃんを兼任管理者に仕立て上げ生け贄にして自前でやるよりは高い、と言うぐらいの予算感覚でできる。

      • by Anonymous Coward

        漏洩時の顧客対応、風評対応も丸投げにできるやつですか、従業員に代わって誰か失脚してくれますか

  • by Anonymous Coward on 2016年06月30日 12時46分 (#3039036)

    > 医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。

    たいして価値あるように思わないけど「さまざまな情報」でぼかされてるのかな?

    • by Anonymous Coward

      科にもよるかと。極端な話、美容外科とか、乳腺外科とか。
      あと精神科なら、電子カルテに会話内容が記録されてるかも。

      価値といえば、診断補助AIを国産するにあたって、生データの山は貴重ですが、
      それをいかに適切に、どこに拠出するかという問題もあります。

      えっ。ぐぐるか林檎社くらいだったら信用できるって?

    • by Anonymous Coward

      これ以上ないほどに個人のニーズを吸い上げられると思うんですけど。

    • by Anonymous Coward

      今時は日用品とかはポイントカードとかで集まる情報も多いでしょうから、より集まりにくい医療関係とかそういう方が希少価値も出ると思います。
      加えて動く金の大きい業界の情報の方が高く売れるのもあると思います。
      ガンとか糖尿病とか高血圧とかの患者リストとか、それに電話番号とか住所が付いて来れば、高値を付ける業界の人々が居そうだと思いませんか?

    • by Anonymous Coward

      身体的特徴 → ダイエット食品やカツラ屋、美容整形などなど
      処方箋の履歴 → 保険適用外の薬使用=金持ち → 強盗などのターゲット
      病歴 → 保険屋、葬儀屋

      結構価値がありそうに思いますけど。
      他にも、病歴そのものを隠したい人や麻薬関係等の通院歴から本人を恐喝することもできそうですね。

  • by Anonymous Coward on 2016年06月30日 15時58分 (#3039189)

    オーストラリアの病院がサポート関連でいざこざを起こしているというのがあったけど
    割とセキュリティというか情報機材にお金掛けられないものなのかね

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...