豪メルボルン、大病院のネットワークでWindows XPがウイルスに感染して大混乱 67
ストーリー by headless
解決 部門より
解決 部門より
Royal Melbourne Hospitalなどを運営するオーストラリア・メルボルンで最大級の病院ネットワーク、Melbourne Healthのコンピューターシステムがウイルスに感染し、病院の業務が大混乱に陥ったそうだ(The Ageの記事、
news.com.auの記事、
9news.com.auの記事、
Royal Melbourne HospitalのFacebook投稿)。
ウイルス感染による問題発生を知らせる電子メールが病院スタッフに送られたのは18日(月曜日)だが、感染が始まったのは15日(金曜日)午後のことだという。Melbourne HealthのコンピューターネットワークにはWindows XPマシンが混在しており、これらがウイルスに感染したようだ。
病理学科では血液検査や組織検査、尿検査などの処理を手作業で行うことになり、緊急の病理サンプル以外は処理できないことを通知している。緊急の検査要請はFAXで行われ、緊急性の高い異常値が検出された場合には電話でスタッフに連絡していたそうだ。病院の給食サービスでは正しい食事が正しい患者に届けられるよう、看護師と連携して対応したとのこと。また、スタッフはパスワードの必要なサイトに決してログインしないよう警告されたほか、電源の入っているコンピューターの電源は決して切らず、電源の入っていないコンピューターの電源は決して入れないようにとも警告されたという。
対応にあたったMelbourne HealthのITスタッフは休みなく作業を続け、翌19日には大半のコンピューターからウイルスの除去を完了。残ったWindows XPマシンもできるだけ早く修復すると発表している。午前10時段階で病理や調剤を含め、ウイルスの影響を受けたプログラムの多くが使用可能になったそうだ(Royal Melbourne Hospitalの発表)。
このような問題が発生するのは、病院で旧型のITシステムをアップグレードする予算の不足が原因として指摘されている。今回の件を受けてビクトリア州のJill Hennessy保健大臣は、ITアップグレードの予算として1千万豪ドルを割り当てると発表した。
ウイルス感染による問題発生を知らせる電子メールが病院スタッフに送られたのは18日(月曜日)だが、感染が始まったのは15日(金曜日)午後のことだという。Melbourne HealthのコンピューターネットワークにはWindows XPマシンが混在しており、これらがウイルスに感染したようだ。
病理学科では血液検査や組織検査、尿検査などの処理を手作業で行うことになり、緊急の病理サンプル以外は処理できないことを通知している。緊急の検査要請はFAXで行われ、緊急性の高い異常値が検出された場合には電話でスタッフに連絡していたそうだ。病院の給食サービスでは正しい食事が正しい患者に届けられるよう、看護師と連携して対応したとのこと。また、スタッフはパスワードの必要なサイトに決してログインしないよう警告されたほか、電源の入っているコンピューターの電源は決して切らず、電源の入っていないコンピューターの電源は決して入れないようにとも警告されたという。
対応にあたったMelbourne HealthのITスタッフは休みなく作業を続け、翌19日には大半のコンピューターからウイルスの除去を完了。残ったWindows XPマシンもできるだけ早く修復すると発表している。午前10時段階で病理や調剤を含め、ウイルスの影響を受けたプログラムの多くが使用可能になったそうだ(Royal Melbourne Hospitalの発表)。
このような問題が発生するのは、病院で旧型のITシステムをアップグレードする予算の不足が原因として指摘されている。今回の件を受けてビクトリア州のJill Hennessy保健大臣は、ITアップグレードの予算として1千万豪ドルを割り当てると発表した。
既知のOSの脆弱性を突いたものかどうかで話が違うのでは (スコア:2)
OSのサポート終了というのは、新たに発見されたOSの脆弱性が放置される所に問題があって、であるから使用をやめるべきという話になる。
他方で、ゼロデイであればサポート中のOSでも関係がないし、アプリの脆弱性もOSは関係がない(アプリの対応OSは、OS側のサポート体制とは独立している)。
OSへのゼロデイ攻撃に関しては (スコア:2, すばらしい洞察)
OSへのゼロデイ攻撃があった場合、サポート中のOSであれば緊急アップデート等の対策が取られる。でも、サポート切れのOSは攻撃が続いていてもパッチ提供はされないから、どのみちサポート切れのOSが危険だという結論は変わらないのでは…
Re: (スコア:0)
IE8向けのパッチを分析してIE8の脆弱性をつきとめた。そしてその脆弱性をついてきたという可能性もあるんですよね~。
病院のネットワークは弱い (スコア:1)
以前, 病院のシステムの監査をしたことがありますが, ネットワークが(一応論理的には)インターネットから分離されていることを前提にして, 内部的な防御が施されていない環境がほとんどでした. ですので, オフラインのファイル経由の感染とか, 物理的なネットワークコンセントに接続できる状態なら, かなり自由に広範な侵入・データ抜きが可能なはずです.
まあ, 監査の目的が性能評価だったので, セキュリティについての問題はおまけ程度に報告したぐらいなんですけど. その後, かなり経っているので改善されていることを望みますが.
Re:病院のネットワークは弱い (スコア:2)
ルールも人も弱いから安心してくれ。おっと誰かが...
Re: (スコア:0)
ネットワークが信頼できるという前提に立っているのか、利用者IDやパスワードが平文でサーバーに送信され、
サーバーのデータベースでも平文で保存されているという設計が珍しくない
他にも、インターネットに構築されるサーバー・クライアント型サービスだったならありえないような、
問題あると思われる仕様がいくつかあった。どうすれば/どうなればこれらは直るのかねぇ
Re:病院のネットワークは弱い (スコア:1)
2000年問題のからみで、関連する総合病院に出向して事務局のPMとしてオーダリングシステム他院内システム一式導入のプロジェクト管理を担当したことがあるけど、認証データベースをmdb形式でクライアントに配信するシステムがありました。
導入実績を嘘ついてたベンダーがいたり、近隣の同規模の病院のシステム管理者から期限まで導入が間に合うはずが無いと言われたりとか、事務局の担当者が私一人(資格持ちが私しか居なかったらしい)とか、初めて関わったシステム関連事業としては、高度情報処理技術者試験の論文のネタ満載の仕事でした。
Re:病院のネットワークは弱い (スコア:2)
かなり大きな病院でもお抱えのIT技術者なんていないですよ
「旧型のITシステムをアップグレードする予算の不足が原因」とはよく聞くが (スコア:0)
緊急対策費(残業代とか)や業務プロセスの混乱でいくらの損失が出たかを知りたい。
Re:「旧型のITシステムをアップグレードする予算の不足が原因」とはよく聞くが (スコア:1)
そういえば、昔見たパソコン誌の海外事情系のコーナーに、オーストラリアは工業製品の物価が高いのでかなり古いシステムを修理しながら騙し騙し使ってる所が多いとか、そういうニーズに応えるための修理業者が充実してるとか書いてあったの思い出したんだけど、今でもそうなんだろうか?
Re: (スコア:0)
いつもの日本は~とかガラパゴスが~とか言っちゃう奴が
狭い視野の駄々っ子だったという事なんだろうね
Re: (スコア:0)
現実には損失に対し、発生確率≒希望的観測で割り引かれてしまうからなぁ……orz
Re: (スコア:0)
現在のシステムもいつかは旧型になり、そうなったらアップグレードしなきゃならない、
ということをシステム導入前にはっきりさせていたら、そのための予算を確保するなり積み立てておくことができたろうに。
あるいは、アップグレードの際の対応も含めた保守契約を結んでおくなり。
でも、実際には、「え?アップグレードが必要になるかも知れない?アップグレードにはこんなにもコストがかかる?じゃあシステム導入は無理。やめ。」となるのかもね。
Re: (スコア:0)
>でも、実際には、「え?アップグレードが必要になるかも知れない?アップグレードにはこんなにもコストがかかる?じゃあシステム導入は無理。やめ。」となるのかもね。
そういう選択をしたらしたで、今度はITなしで業務を回していく方策を考えなきゃらないわけで、そこまでやるのかなぁ?
Re: (スコア:0)
システム導入前なら、今までどおりにやればいい(あるいは、不足分を増強すればいい)だけだから、それほど抵抗感はないのでは。
いったん導入して慣れてしまうと、それなしでやるなんて無理ということになるけど。
Re: (スコア:0)
コスト削減分「美味しくいただきました」by役員
なので。。。
ここはいいな (スコア:0)
また、スタッフはパスワードの必要なサイトに決してログインしないよう警告されたほか、電源の入っているコンピューターの電源は決して切らず、電源の入っていないコンピューターの電源は決して入れないようにとも警告されたという。
見習いたいものだ。
パンデミック (スコア:0)
病院でパンデミックとか大失態じゃないですか
Re: (スコア:0)
手紙に添付されたウイルスが攻撃の原因なのでバイオテロですよ。
Re: (スコア:0)
院内感染だな。
メンテナンスコストの見積もり (スコア:0)
システム導入の際、今後のメンテナンスやアップグレード等に必要なコストを見積もり、それを承知の上でシステム導入を決めたのではないのでしょうか。
システムを提案する側も、メンテナンスにコストがかかるなんてことは隠して、利点だけを説明していたのでしょうか。
まあ、事前にメンテナンスコストをきちっと見積もっていれば、システムは導入しない(あるいはメンテナンスできる範囲の小さなシステムを導入する)という結論になったかもしれないですが。
Re: (スコア:0)
そういや、バイト雇って食い逃げに対策するよりも
そのまま食い逃げされたほうがトータルコストが掛からない理論ってありましたね。
でも、今回に関しては人命がかかっているので、簡単にコスト面だけで考えるのはどうかとは思いますけどね。
Re: (スコア:0)
> 簡単にコスト面だけで考えるのはどうかとは思いますけどね。
いや、 n人死んだ場合の賠償と、イメージダウンによる損害と比較する。
ま、ありえないからと、メンテナンスコストは不要と、、、
言う人も多そうだが。
Re: (スコア:0)
システム導入の時に、その後のアップグレード費用も確保するなんて組織あるんですか。
単に5年間使えるだけの保守費用を最初に確保するだけでしょう。
その上で、5年経つ前に次期設備にする更新費用を掛けないといけないと思いますが。
まあ、5年間使う前にOSのサポート期限が来ることが分かってるシステムなら、アップグレード費用も入れて導入するでしょうけどね。
病院に朝行くと (スコア:0)
端末や大型パネルの起動画面が見れたりするんだけど未だにXPだったりするね。たーだインターネットには繋がってないって言われましたけど300台のネットワークだとインターネットに繋がってないから安心とは言えなさそう。
#インターネットに繋がってないからアップデートしてないだろうし
Re: (スコア:0)
そういうのはCE使ってるんじゃないの
Re: (スコア:0)
Windows Embedded Standard 2009ないしWindows Embedded POSReady 2009でしょう。これらは2019年まで [microsoft.com] サポートされている [microsoft.com]ので、最新のセキュリティパッチも提供されています。
Windows CE系の最新バージョンはWindows Embedded Compact 2013ですが、既にマイクロソフトはCEへの積極的な投資をやめています。なぜなら後継のWindows 10 IoT Coreがあるのですから。
Re: (スコア:0)
そういうのはCE使ってるんじゃないの
CEのほうがお金かかる。
Re: (スコア:0)
wikipediaにはUS $3 から US$16って書いてるけど
端末なんて皮だけでしょ
intelやamdの高いCPU入ってるわけじゃないだろうし
CEのほうが高いってどういうことなの?
Re: (スコア:0)
WindowsXPプレインストールマシン300台かき集めたほうが安いかもね。
業者によります。
Re: (スコア:0)
300台も契約してくれて、けど50台くらいずつ納品できるのならば、1台1万でも可能かもしれません。
いまならWindows7のプレインストールマシンでも。ただし保守契約も結ぶ条件ですけど。
CEマシンはわざわざCEをインストールしないとならないのでちょっと安くできないですね。
OS自体が安いとしても流通量とか手間暇考えると流通していないCEをわざわざいれるのは困る。
さらにCEはできるならば保守は避けたいです。安くした分保守に乗せられないのも含め高くなりますね。
世の中って結局は流通量で安さとか保守のしやすさが決まりますよ。
#業者によるって話ならCEを得意とする業者もあるかもしれませんね
Re: (スコア:0)
CEのソフト開発の方が金がかかるんじゃないだろうか。
技術者もそうだし、開発環境の購入・維持にも金がかかりそう。
CEはPC用OSが乗せられなくて、さらに数が出るものにはいいんだろうけど、病院のシステムだったらPC用のOS使った方がトータルで安くつきそう。
Re: (スコア:0)
> 端末や大型パネルの起動画面が見れたりするんだけど未だにXPだったりするね。
それこそ、導入時はどういう考えで導入するんだろうね。製品寿命よりも先にWindowsのサポート期限が来ることは容易に想像つくのに。
ただ、ネットワークにつながってないのなら、おそらく日々のアップデートもやってないでしょうから、サポート期限が来ようが来まいがあまり関係ないかも。
ところで、今朝、「サワコの朝」を見てたら、中野信子氏の研究室で、WindowsXPのスクリーンセーバーが動いてるシーンがあった。
大学だと、何千万円もする実験装置(軽く10年以上は使う)の制御にPCが使われていて、古いWindowsが使われていることが、いっぱいある。ネットにつながない前提で使ってるけど。
PCを買い換えるだけなら数万円で済むけど、制御ソフトのバージョンアップ(新Windows対応バージョン)が必要になってしまうと何十万とか百万以上とかかかることがよくあるし。
もちろん、その更新のために予算を確保してあるなんてことはまずありえないし。
Re:病院に朝行くと (スコア:1)
大学だと、何千万円もする実験装置(軽く10年以上は使う)の制御にPCが使われていて、古いWindowsが使われていることが、いっぱいある。ネットにつながない前提で使ってるけど。
とーこーろーがー、最近の機械だとベンダーのデータベースと100Mbpsの通信を発生させながら稼働するとかいうふざけたのがありやがって、バックボーンが10GだからまあいいけどASのエッジルーターとかその先とかが心配に。いっそ専用の光ファイバー引こうかなんて話も出たくらい。OSのサポート切れで再燃するでしょう。
PCを買い換えるだけなら数万円で済むけど、制御ソフトのバージョンアップ(新Windows対応バージョン)が必要になってしまうと何十万とか百万以上とかかかることがよくあるし。 もちろん、その更新のために予算を確保してあるなんてことはまずありえないし。
そういう大物はNEDOとか科研費のSとか一発もの外部資金で買うことが多いから、プロジェクト期間が切れたらそれっきり、もちろん更新の予算なんか確保のしようがありません。会社の内部資金で整備したものなら更新まで計画できるかも知れませんね。
Jubilee
患者として病院のシステム障害にあったこと (スコア:0)
入院中にシステム障害にあったことがあります。
入院患者と外来患者用(救急外来以外)のレントゲン撮影所へ行くと、レントゲン受付がダウンしていました。
レントゲン画像は電子化されていて、磁気カードの診察券を受け付けの人が通さないと撮影した画像の管理ができないようでした。
数時間後に復旧したという院内放送があり、その日のうちに撮影できました。
Re: (スコア:0)
前に病院のシステム開発でデスマーチに突入して病院に缶詰になった書き込みがあったな。
倒れても病院だから、ある意味安心・・・。
システム障害の中でも緊急の患者として対応してくれるに違いない・・・。
自分が通っている病院では、血液検査と尿検査の受付システムが更新されて、人間がやっているときよりスピードが落ちて、列ができるようになってしまった。
受付の機械の説明員として一人常駐が必要で、これ省力化になっているんだろうかと疑っている。
自動で尿検査のラベルを貼って紙コップを出してくれる面白い機械なんだけど、待ち時間で列ができるのがなあ。
FAX残っていて良かったね (スコア:0)
一時的とはいえバックアップにFAX使えてよかった。
都立病院もXP (スコア:0)
とある都立病院に入院中に見ていたら医者、看護師、検査士のPCがXPでした。
USBポートが埋まっていなかったし、むき出しのルーターもいくつかあったので危ないなーと思ってました。
Re:「XPでも困らない」とか言ってた連中まだ息してる?ww (スコア:1)
このツリー、モデレータが荒ぶりすぎてて何か怖いわ
スラドは金でモデ権が買えるからな (スコア:0)
こうなって当然だわさ
Re: (スコア:0)
もう使ってもいないのにコメント稼ぎを目的として適当なこと言ってるエアユーザーしかいないよ(実際に今でも使っていればありえないようなことを口にするからすぐバレる)。
Re: (スコア:0, 荒らし)
「パソコンのメモリなんて640kB以上いらない」とか言ってた御仁はまだ息してますけどね
Re:実際困ってないんだから困る (スコア:2)
ボーカロイドの初期バージョン専用にXPマシンを維持している知り合いがいます。サポート終了間際に使える限り最新のパーツで組んで、ディスクトラブルに備えてシステムイメージを光学メディアに保存して。
職場ではIDS使ってHTTPヘッダーのUser-AgentでXPをチェックするようにして、検出された間抜け数名に大目玉食らわせたら抵抗はやみました。User-Agentヘッダーをいじることは可能、ですって?うん、それやってバレたら懲罰委員会が開催されて人事記録に残る処分が下ることが確実って噂流してますから…(本当は最初の数名に対して開催されるのを止めた側なんですけどね)。
あああと、シーケンサーと一体化してるXPはLANポート潰してオフライン。互換性は知りませんが、「XPじゃないと動作保証できない」とほざくベンダーがあって、買い換えるにも丸ごとだと千万単位ですし。
Jubilee
Re:実際困ってないんだから困る (スコア:2)
UAいじることが懲罰委員会もの?
まあXPを使用すること自体が対象なんでしょうけど。
Re: (スコア:0, すばらしい洞察)
キチガイktkr
Re: (スコア:0)
XPの時点で非推奨になってたAPIを使ってる、みたいなくだらない理由でしょどうせ
Re: (スコア:0)
以上、エロゲオタからのレポートでした。
Re: (スコア:0)
XPの頃のゲームだとwineで結構いける。エロゲ系は特に。
後は仮想環境にwindows入れてプレイ。
後者をLinuxでプレイしたと言っていいかのは疑問だけど。
Re: (スコア:0)
ローカルネットから外部へルーティングしてないならいいけど、XPから外部へ繋ぐのはやめてよ?
Re: (スコア:0)
普段使いがLinuxに移行しているってことは、XPじゃ普段使いに困るってことじゃ…。