パスワードを忘れた? アカウント作成
12661936 story
オーストラリア

豪メルボルン、大病院のネットワークでWindows XPがウイルスに感染して大混乱 67

ストーリー by headless
解決 部門より
Royal Melbourne Hospitalなどを運営するオーストラリア・メルボルンで最大級の病院ネットワーク、Melbourne Healthのコンピューターシステムがウイルスに感染し、病院の業務が大混乱に陥ったそうだ(The Ageの記事news.com.auの記事9news.com.auの記事Royal Melbourne HospitalのFacebook投稿)。

ウイルス感染による問題発生を知らせる電子メールが病院スタッフに送られたのは18日(月曜日)だが、感染が始まったのは15日(金曜日)午後のことだという。Melbourne HealthのコンピューターネットワークにはWindows XPマシンが混在しており、これらがウイルスに感染したようだ。

病理学科では血液検査や組織検査、尿検査などの処理を手作業で行うことになり、緊急の病理サンプル以外は処理できないことを通知している。緊急の検査要請はFAXで行われ、緊急性の高い異常値が検出された場合には電話でスタッフに連絡していたそうだ。病院の給食サービスでは正しい食事が正しい患者に届けられるよう、看護師と連携して対応したとのこと。また、スタッフはパスワードの必要なサイトに決してログインしないよう警告されたほか、電源の入っているコンピューターの電源は決して切らず、電源の入っていないコンピューターの電源は決して入れないようにとも警告されたという。

対応にあたったMelbourne HealthのITスタッフは休みなく作業を続け、翌19日には大半のコンピューターからウイルスの除去を完了。残ったWindows XPマシンもできるだけ早く修復すると発表している。午前10時段階で病理や調剤を含め、ウイルスの影響を受けたプログラムの多くが使用可能になったそうだ(Royal Melbourne Hospitalの発表)。

このような問題が発生するのは、病院で旧型のITシステムをアップグレードする予算の不足が原因として指摘されている。今回の件を受けてビクトリア州のJill Hennessy保健大臣は、ITアップグレードの予算として1千万豪ドルを割り当てると発表した。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • OSのサポート終了というのは、新たに発見されたOSの脆弱性が放置される所に問題があって、であるから使用をやめるべきという話になる。

    他方で、ゼロデイであればサポート中のOSでも関係がないし、アプリの脆弱性もOSは関係がない(アプリの対応OSは、OS側のサポート体制とは独立している)。

    • by Anonymous Coward on 2016年01月23日 15時43分 (#2953780)

      OSへのゼロデイ攻撃があった場合、サポート中のOSであれば緊急アップデート等の対策が取られる。でも、サポート切れのOSは攻撃が続いていてもパッチ提供はされないから、どのみちサポート切れのOSが危険だという結論は変わらないのでは…

      親コメント
    • by Anonymous Coward

      IE8向けのパッチを分析してIE8の脆弱性をつきとめた。そしてその脆弱性をついてきたという可能性もあるんですよね~。

  • 以前, 病院のシステムの監査をしたことがありますが, ネットワークが(一応論理的には)インターネットから分離されていることを前提にして, 内部的な防御が施されていない環境がほとんどでした. ですので, オフラインのファイル経由の感染とか, 物理的なネットワークコンセントに接続できる状態なら, かなり自由に広範な侵入・データ抜きが可能なはずです.

    まあ, 監査の目的が性能評価だったので, セキュリティについての問題はおまけ程度に報告したぐらいなんですけど. その後, かなり経っているので改善されていることを望みますが.

    • ルールも人も弱いから安心してくれ。おっと誰かが...

      親コメント
    • by Anonymous Coward

      ネットワークが信頼できるという前提に立っているのか、利用者IDやパスワードが平文でサーバーに送信され、
      サーバーのデータベースでも平文で保存されているという設計が珍しくない

      他にも、インターネットに構築されるサーバー・クライアント型サービスだったならありえないような、
      問題あると思われる仕様がいくつかあった。どうすれば/どうなればこれらは直るのかねぇ

      • >問題あると思われる仕様がいくつかあった。

         2000年問題のからみで、関連する総合病院に出向して事務局のPMとしてオーダリングシステム他院内システム一式導入のプロジェクト管理を担当したことがあるけど、認証データベースをmdb形式でクライアントに配信するシステムがありました。
         導入実績を嘘ついてたベンダーがいたり、近隣の同規模の病院のシステム管理者から期限まで導入が間に合うはずが無いと言われたりとか、事務局の担当者が私一人(資格持ちが私しか居なかったらしい)とか、初めて関わったシステム関連事業としては、高度情報処理技術者試験の論文のネタ満載の仕事でした。
        親コメント
  • 緊急対策費(残業代とか)や業務プロセスの混乱でいくらの損失が出たかを知りたい。

    • そういえば、昔見たパソコン誌の海外事情系のコーナーに、オーストラリアは工業製品の物価が高いのでかなり古いシステムを修理しながら騙し騙し使ってる所が多いとか、そういうニーズに応えるための修理業者が充実してるとか書いてあったの思い出したんだけど、今でもそうなんだろうか?

      親コメント
      • by Anonymous Coward

        いつもの日本は~とかガラパゴスが~とか言っちゃう奴が
        狭い視野の駄々っ子だったという事なんだろうね

    • by Anonymous Coward

      現実には損失に対し、発生確率≒希望的観測で割り引かれてしまうからなぁ……orz

    • by Anonymous Coward

      現在のシステムもいつかは旧型になり、そうなったらアップグレードしなきゃならない、
      ということをシステム導入前にはっきりさせていたら、そのための予算を確保するなり積み立てておくことができたろうに。
      あるいは、アップグレードの際の対応も含めた保守契約を結んでおくなり。

      でも、実際には、「え?アップグレードが必要になるかも知れない?アップグレードにはこんなにもコストがかかる?じゃあシステム導入は無理。やめ。」となるのかもね。

      • by Anonymous Coward

        >でも、実際には、「え?アップグレードが必要になるかも知れない?アップグレードにはこんなにもコストがかかる?じゃあシステム導入は無理。やめ。」となるのかもね。

        そういう選択をしたらしたで、今度はITなしで業務を回していく方策を考えなきゃらないわけで、そこまでやるのかなぁ?

        • by Anonymous Coward

          システム導入前なら、今までどおりにやればいい(あるいは、不足分を増強すればいい)だけだから、それほど抵抗感はないのでは。

          いったん導入して慣れてしまうと、それなしでやるなんて無理ということになるけど。

      • by Anonymous Coward

        コスト削減分「美味しくいただきました」by役員
        なので。。。

  • by Anonymous Coward on 2016年01月23日 13時50分 (#2953732)

    また、スタッフはパスワードの必要なサイトに決してログインしないよう警告されたほか、電源の入っているコンピューターの電源は決して切らず、電源の入っていないコンピューターの電源は決して入れないようにとも警告されたという。

    見習いたいものだ。

  • by Anonymous Coward on 2016年01月23日 14時22分 (#2953741)

    病院でパンデミックとか大失態じゃないですか

    • by Anonymous Coward

      手紙に添付されたウイルスが攻撃の原因なのでバイオテロですよ。

  • by Anonymous Coward on 2016年01月23日 14時32分 (#2953747)

    システム導入の際、今後のメンテナンスやアップグレード等に必要なコストを見積もり、それを承知の上でシステム導入を決めたのではないのでしょうか。
    システムを提案する側も、メンテナンスにコストがかかるなんてことは隠して、利点だけを説明していたのでしょうか。

    まあ、事前にメンテナンスコストをきちっと見積もっていれば、システムは導入しない(あるいはメンテナンスできる範囲の小さなシステムを導入する)という結論になったかもしれないですが。

    • by Anonymous Coward

      そういや、バイト雇って食い逃げに対策するよりも
      そのまま食い逃げされたほうがトータルコストが掛からない理論ってありましたね。

      でも、今回に関しては人命がかかっているので、簡単にコスト面だけで考えるのはどうかとは思いますけどね。

      • by Anonymous Coward

        > 簡単にコスト面だけで考えるのはどうかとは思いますけどね。
        いや、 n人死んだ場合の賠償と、イメージダウンによる損害と比較する。

        ま、ありえないからと、メンテナンスコストは不要と、、、
        言う人も多そうだが。

    • by Anonymous Coward

      システム導入の時に、その後のアップグレード費用も確保するなんて組織あるんですか。
      単に5年間使えるだけの保守費用を最初に確保するだけでしょう。
      その上で、5年経つ前に次期設備にする更新費用を掛けないといけないと思いますが。

      まあ、5年間使う前にOSのサポート期限が来ることが分かってるシステムなら、アップグレード費用も入れて導入するでしょうけどね。

  • by Anonymous Coward on 2016年01月23日 14時40分 (#2953752)

    端末や大型パネルの起動画面が見れたりするんだけど未だにXPだったりするね。たーだインターネットには繋がってないって言われましたけど300台のネットワークだとインターネットに繋がってないから安心とは言えなさそう。
    #インターネットに繋がってないからアップデートしてないだろうし

    • by Anonymous Coward

      そういうのはCE使ってるんじゃないの

      • by Anonymous Coward

        Windows Embedded Standard 2009ないしWindows Embedded POSReady 2009でしょう。これらは2019年まで [microsoft.com] サポートされている [microsoft.com]ので、最新のセキュリティパッチも提供されています。
        Windows CE系の最新バージョンはWindows Embedded Compact 2013ですが、既にマイクロソフトはCEへの積極的な投資をやめています。なぜなら後継のWindows 10 IoT Coreがあるのですから。

      • by Anonymous Coward

        そういうのはCE使ってるんじゃないの

        CEのほうがお金かかる。

        • by Anonymous Coward

          wikipediaにはUS $3 から US$16って書いてるけど
          端末なんて皮だけでしょ
          intelやamdの高いCPU入ってるわけじゃないだろうし
          CEのほうが高いってどういうことなの?

          • by Anonymous Coward

            WindowsXPプレインストールマシン300台かき集めたほうが安いかもね。
            業者によります。

            • by Anonymous Coward

              300台も契約してくれて、けど50台くらいずつ納品できるのならば、1台1万でも可能かもしれません。
              いまならWindows7のプレインストールマシンでも。ただし保守契約も結ぶ条件ですけど。

              CEマシンはわざわざCEをインストールしないとならないのでちょっと安くできないですね。
              OS自体が安いとしても流通量とか手間暇考えると流通していないCEをわざわざいれるのは困る。
              さらにCEはできるならば保守は避けたいです。安くした分保守に乗せられないのも含め高くなりますね。

              世の中って結局は流通量で安さとか保守のしやすさが決まりますよ。

              #業者によるって話ならCEを得意とする業者もあるかもしれませんね

          • by Anonymous Coward

            CEのソフト開発の方が金がかかるんじゃないだろうか。
            技術者もそうだし、開発環境の購入・維持にも金がかかりそう。

            CEはPC用OSが乗せられなくて、さらに数が出るものにはいいんだろうけど、病院のシステムだったらPC用のOS使った方がトータルで安くつきそう。

    • by Anonymous Coward

      > 端末や大型パネルの起動画面が見れたりするんだけど未だにXPだったりするね。

      それこそ、導入時はどういう考えで導入するんだろうね。製品寿命よりも先にWindowsのサポート期限が来ることは容易に想像つくのに。
      ただ、ネットワークにつながってないのなら、おそらく日々のアップデートもやってないでしょうから、サポート期限が来ようが来まいがあまり関係ないかも。

      ところで、今朝、「サワコの朝」を見てたら、中野信子氏の研究室で、WindowsXPのスクリーンセーバーが動いてるシーンがあった。

      大学だと、何千万円もする実験装置(軽く10年以上は使う)の制御にPCが使われていて、古いWindowsが使われていることが、いっぱいある。ネットにつながない前提で使ってるけど。
      PCを買い換えるだけなら数万円で済むけど、制御ソフトのバージョンアップ(新Windows対応バージョン)が必要になってしまうと何十万とか百万以上とかかかることがよくあるし。
      もちろん、その更新のために予算を確保してあるなんてことはまずありえないし。

      • by Jubilee (20038) on 2016年01月24日 1時46分 (#2953917)

        大学だと、何千万円もする実験装置(軽く10年以上は使う)の制御にPCが使われていて、古いWindowsが使われていることが、いっぱいある。ネットにつながない前提で使ってるけど。

        とーこーろーがー、最近の機械だとベンダーのデータベースと100Mbpsの通信を発生させながら稼働するとかいうふざけたのがありやがって、バックボーンが10GだからまあいいけどASのエッジルーターとかその先とかが心配に。いっそ専用の光ファイバー引こうかなんて話も出たくらい。OSのサポート切れで再燃するでしょう。

        PCを買い換えるだけなら数万円で済むけど、制御ソフトのバージョンアップ(新Windows対応バージョン)が必要になってしまうと何十万とか百万以上とかかかることがよくあるし。 もちろん、その更新のために予算を確保してあるなんてことはまずありえないし。

        そういう大物はNEDOとか科研費のSとか一発もの外部資金で買うことが多いから、プロジェクト期間が切れたらそれっきり、もちろん更新の予算なんか確保のしようがありません。会社の内部資金で整備したものなら更新まで計画できるかも知れませんね。

        --
        Jubilee
        親コメント
  • by Anonymous Coward on 2016年01月23日 15時07分 (#2953766)

    入院中にシステム障害にあったことがあります。
    入院患者と外来患者用(救急外来以外)のレントゲン撮影所へ行くと、レントゲン受付がダウンしていました。
    レントゲン画像は電子化されていて、磁気カードの診察券を受け付けの人が通さないと撮影した画像の管理ができないようでした。
    数時間後に復旧したという院内放送があり、その日のうちに撮影できました。

    • by Anonymous Coward

      前に病院のシステム開発でデスマーチに突入して病院に缶詰になった書き込みがあったな。
      倒れても病院だから、ある意味安心・・・。
      システム障害の中でも緊急の患者として対応してくれるに違いない・・・。

      自分が通っている病院では、血液検査と尿検査の受付システムが更新されて、人間がやっているときよりスピードが落ちて、列ができるようになってしまった。
      受付の機械の説明員として一人常駐が必要で、これ省力化になっているんだろうかと疑っている。
      自動で尿検査のラベルを貼って紙コップを出してくれる面白い機械なんだけど、待ち時間で列ができるのがなあ。

  • by Anonymous Coward on 2016年01月23日 21時44分 (#2953878)

    一時的とはいえバックアップにFAX使えてよかった。

  • by Anonymous Coward on 2016年01月23日 21時51分 (#2953880)

    とある都立病院に入院中に見ていたら医者、看護師、検査士のPCがXPでした。
    USBポートが埋まっていなかったし、むき出しのルーターもいくつかあったので危ないなーと思ってました。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...