パスワードを忘れた? アカウント作成
13753076 story
ストレージ

奈良県・宇陀市立病院の電子カルテシステムがランサムウェアに感染 54

ストーリー by hylom
まさかのテープセットし忘れとは 部門より

奈良県宇陀市の宇陀市立病院の電子カルテシステムがランサムウェアに感染し、データの一部にアクセスできなくなる問題が発生している(Security NEXT日経新聞)。

ランサムウェアはデータを暗号化するなどしてアクセスできなくしたうえで、暗号化解除の引き換えに金銭を要求するもの。これによって電子カルテシステムの診療記録の一部が利用できない状況になっていたという。原因として「ウイルス対策ソフトが最新ではなかった」としている。感染経路についてはまだ特定できていないようだ。

同院は金銭の支払いを行わず、感染したサーバーの性セットアップを行ってシステムを復旧させた。しかし暗号化されたデータについてはバックアップ用の磁気テープがセットされていなかったことが判明、アクセスできない状況が続いているようだ。そのため、データの復元をセキュリティ企業に依頼しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • リリース (スコア:5, 参考になる)

    by bewon (36083) on 2018年10月25日 19時01分 (#3504459) 日記

    病院側のリリース
    https://www.city.uda.nara.jp/udacity-hp/oshirase/change-info/documents... [uda.nara.jp]

    「システム会社の不備」と繰り返し出てきてるあたり、ベンダーに全部お任せしていた感がにじみ出るリリースです。

    • by Anonymous Coward

      とはいえ
      全部お任せする前提の料金でやるべきことをしてなかったベンダーとは

      • by Anonymous Coward

        宇陀市立病院 新医療情報システム導入業務基本仕様書
        https://www.city.uda.nara.jp/udacity-hp/oshirase/gyousya-bosyu/documen... [uda.nara.jp]

        入札情報からベンダーも割れるかと思ったが見つけられなかったw

        • by Anonymous Coward
          そう思って調べてみたんですが、そもそも入札じゃないみたいです。

          募集要項の要件を満たした業者からの応募→選考(誰が?)という流れみたいですね。

          #なんか匂うね
        • by Anonymous Coward

          医◯情報システムみたいですね。

    • by Anonymous Coward

      病院の本業はシステムのお守りじゃないから。
      とはいえ、日常的に最低限のことはユーザ側で運用ルールを決めて対応しないとな。

      • by Anonymous Coward

        病院だからって全員医療スタッフじゃないでしょ

  • by wolf03 (39616) on 2018年10月25日 18時53分 (#3504447) 日記
    ×ウイルス対策ソフトが最新ではなかった
    ○引っかかった馬鹿がいた
    • by Anonymous Coward

      例えパッチが最新でも、感染することはありますからね……。

      電子カルテってインターネットに接続する必要ないだろうから、
      誰かが感染端末を持ち込んでLANに繋いだんじゃないでしょうか。

      原因は、その人orその人が行っている業務手順でしょうね。

      • Re:原因誤り (スコア:5, 参考になる)

        by Anonymous Coward on 2018年10月25日 21時50分 (#3504575)

        大学病院になると研究や教育のネットワークが出てきてめんどいし、クリニックや小規模病院はネットワークを分けてないことも多いのでので、中規模の民間病院を想定して書いてみます。

        まず、インターネットと電子カルテのネットワークは一応分かれています。ただし、情報機器や医療機器ベンダーのリモートメンテナンスやウイルス対策ソフトの更新、機材管理などのため、マルチホームホストがある場合もあります。
        また、最近では地域医療ネットワークといって、外部のクリニックなどにカルテを公開しているケースもあります。この場合は、公開用のサーバがマルチホームになる場合もあります。
        いずれにしても、医療情報技師や電子カルテベンダーがしっかりと管理しているので、ここが問題になる可能性は低いです。

        ところで、医療業界は集計した診療データを頻繁に外部に送信しています。診療報酬の請求や、行政機関への各種報告などです。この場合、電子カルテのパソコンでデータを作成して、USBメモリなどでインターネットのパソコンに移してから送信します。
        他にも職種にかかわらず研修資料や学会資料作成のためにUSBメモリを使ってデータを持ち運ぶことは多いです。仕事の合間に資料作成をして、帰宅してからも続きをするなどです。
        さらに、ベンダーがメンテナンス用にUSBメモリを持ち込むこともあります。ベンダーがちゃんとチェックしているはずですが。。。
        ということで、USBメモリが弱点になりやすいです。

        ちなみに病院にあるパソコンは、事務機器としてのパソコンと医療機器としてのパソコンがあります。事務機器としてのパソコンはウイルス対策をしやすいですが、医療機器としてのパソコン、これは薬機法による承認を受けており、安易に構成を変えられません。
        セキュリティパッチやウイルス対策ソフトのインストールは構成変更に当たらない、という解釈をもありますが、法的な問題を嫌って納入された状態で使っている医療機関は多いと思います。

        という感じで医療機関にとってコンピュータウイルスとは、USBメモリなどの記憶媒体から侵入し、制度の隙間をついて感染していくものです。
        #例外もあるが・・・

        あ、そうだ。
        電子カルテ端末からそのままインターネットにつながる設定の病院、実はあります。もちろん、セキュリティ対策はちゃんとしていると聞いています。病院って外部監査が頻繁にあって、電子カルテのネットワークの安全性もチェックされています。
        なので、仕組み的には安心してもらっても大丈夫です、たぶん。

        親コメント
        • by Anonymous Coward

          自分のかかりつけのクリニックの院長せんせーは、ほーらメタボってこうなるんだよ
          って言いながらネットのサイト情報見せてくれます。 この情報、参考になる
          でしょって言いながら(笑

        • by Anonymous Coward

          ちょっと引っ掛かりますね。

          「診療報酬の請求」がレセプトデータのことを言っているのであれば、これは大半の中規模病院が電子カルテと連携のあるソフトウェアでデータを計算し、厚労省ガイドラインにのっとった通信方式(ただ鍵認証方式で暗号化しろ程度しか書いてない)で外部通信にてデータを渡しています。殆どのケース、この通信はいわゆるインターネットに接続された表のネットワークから行われるのではなく、電子カルテのある裏のネットワークから行われます。多くは線としてはパブリックインターネットを使い、その中でVPNを張るという形です。ルー

          • by Anonymous Coward

            レセプトの回線の接続については、病院の考え次第としか言えないと思います。
            電子カルテネットワークにつないでいる施設があってもおかしくないですし、そうじゃない施設も当然あります。
            ただ、社会保険診療報酬支払基金としては、「(レセコンとは別に)オンライン請求用のパソコンを別に準備することを推奨します」とは言っています(レセコンのネットワークにつなぐな、とは言ってないなw)。

            で、まぁ、内情を知る者としては、仕組みは大丈夫。ただ運用はどうだろうか、思った通りになってるか分からないと思っています。
            さすがに書類上から問題があれば、監査でつつかれますからね。

            #業界以外の方へ、病院の医療情報システムは、厚生省のガイドライン [mhlw.go.jp]に依って構築されています。多分。

    • by Anonymous Coward

      どんなセキュリティやってても、感染するときはするもんだよ。

  • by uippi (9904) on 2018年10月25日 18時46分 (#3504438) 日記
    >感染したサーバーの性セットアップを行ってシステムを復旧させた。
    性セットアップってなんやねん。

    #まぁ再セットアップって入力したかったんだろうなぁとは思いますが、一度声に出して読み直したりした方が良いと思うなぁ。
    #って、コメントを書かせる釣りだっけ?ボンバルディアのストーリーでACさんが言ってたな……釣られたか。
    • 性セットアップってなんやねん。

      第二次性徴のことではないかと…。
      バックアップネタだけに、概ね男子はホットスタンバイ・女子はウォームスタンバイであることが多いとか。

      男子は女子のバックアップレベルを知るためにHot Dog Pressという仕様書を読むのだけれど、女子が足を組んだらホットスタンバイなどという地雷が仕掛けられていたり。

      続きは誰か考えてください。

      # シモネタでも堂々とID。

      --
      死して屍 拾う者なし
      親コメント
    • by Anonymous Coward

      雄かな?雌かな?

      • by Anonymous Coward

        感染「性」セットアップが正しいと思います

    • by Anonymous Coward

      一方のサーバーの雄コネクタをもう一方のサーバーの雌コネクタにつないだということだろうJK

      • by Anonymous Coward

        雄は雄同士で雌は雌同士でつながるべきだと思います!

        • by Anonymous Coward

          雌同士なら両側に雄端子のついたコネクタで繋げられますね。

          雄同士のコネクタはあまり聞いたことがない。むきだしの結線で繋げるとか・・・

        • by Anonymous Coward

          漫画家のくずしろさんのお友達が両端メスのケーブルを見て「これって百合じゃない?」といったそうな

      • by Anonymous Coward

        雄側から雌側にいろいろと漏洩したんでしょうか

        • by Anonymous Coward

          いや雄コネクタと雌コネクタの間だと思う。♂!♀

    • by Anonymous Coward

      つ [ハンロンの剃刀]
      「無能で十分説明されることに悪意を見出すな」

      hylom氏が、あなたの想像よりも無能なだけでしょう。
      (かつ、おそらくsradに対して碌に興味もない)
      「釣り」とか、本気にしないほうがいいですよ。

  • by manmos (29892) on 2018年10月25日 19時17分 (#3504472) 日記

    > 同システムは10月1日に導入したばかりで、動作の確認期間中だった。

    普通、切り戻しの事考えて、データ二重にしとくよね。

  • by Anonymous Coward on 2018年10月25日 19時32分 (#3504488)

    必要になってはじめてわかるバックアップ障害。あるあるですなぁw

  • by Anonymous Coward on 2018年10月25日 20時05分 (#3504518)

    もし富士通だとしたら今年の2月に東大病院でもやらかしてるからヤバイよな。
    https://tech.nikkeibp.co.jp/it/atcl/column/14/346926/020501300/ [nikkeibp.co.jp]

    どっちにしても、なんか関東で人手不足が半端ないらしいので
    ちゃんとした技術者を集められなかった影響かもしれんね。

    • by Anonymous Coward

      使い潰しし過ぎてついに枯れちゃった?w
      まあその二社はマシな方だが。

      富士通営業はケッコードジっ子だったな
      #中核の要件ド忘れすんなw

      • by Anonymous Coward

        今まではデフレや昔通産省が予測大外ししたお陰で、IT関連は散々使い潰しても代わりはたくさん沸いてきたからね。
        でも今は全体的に人手不足の上、IT業界の悪評はすっかり広まるし、雑兵供給元だったIT系専門学校は滅んだし、特定派遣完全廃止とか偽装請負業への規制は強まるしね。

        もう、日本のIT業界は一辺完全に崩壊した方が良いよ。

  •  私が2000問題がらみでオーダリングシステムの構築事業を担当したときは、要件定義から五年くらいかかると言われていたんですが、最近では一年もかからず電子カルテが稼働できるんですね。
    (それを2年間くらいで・・・以下略)
    /*
    ドクターって、いろいろ事情があって事務やコ・メディカルみたいな一般職員のように内部統制が利きにくいんだよね。
    なので、システムの運用規定なんかでも、システムによほど制限かけておかないと安全は確保できない。
    */

    • by Anonymous Coward

      別な病院向けに作った電子カルテシステムをパッケージと称して横流し。ちょろっと変更入れてカスタマイズとしてボロ儲けって寸法かな。
      だからシステムは元々のバックアップ+カスタマイズ分だから最悪元システムから引っ張ってくれば良いし、スグに復旧出来たけど、
      データはこのシステム用にバックアップしておかなきゃ行けなかったけど無くて復旧出来ないんでしょうね。

      • by Anonymous Coward on 2018年10月26日 10時08分 (#3504755)

        電子カルテの導入って、意外と面倒なんですよ。
        患者さんから見たら大体同じに見える病院でも、流用できるのはプログラムだけでマスタはイチから作ることも多いです。
        紙一枚出すのも、例えば処方箋を診察室のプリンタに出すとか、薬剤師がチェックするので薬剤部で出すとか、チェックは画面でするので請求書とまとめて会計で出すとか様々です。
        電子カルテ以外にも医療安全、検体検査、放射線検査、病理検査、内視鏡検査、生理検査、薬剤、看護、医事、その他多くのシステムがあり、通常は別のベンダーが入れているので連携をするための調整やコンバータの作成、設定などもあります。尤も、この部分は簡単な設定を高く請求してぼろ儲けするパターンもありますが。

        多くの病院はコスト削減のためパッケージに合わせる考えを持っていますが、どうしても譲れない点はカスタマイズしてもらうこともあります。その場合、医療機器ほどではないですが、患者さんの命に関わることもあるので簡単には終わりません。

        あと、システムに詳しい人がいない病院だと、平気で無茶を言います。多分、ストレスになります。

        とまぁ、ベンダーさんは大変だなと病院の医療情報技師は思いつつ、見積りをやすくするための連絡をします。
        #山田さん、今度の見積もっと安くしてね(業務連絡)。

        親コメント
        • by Anonymous Coward

          >コスト削減のためパッケージに合わせる
          支払い削減とパッケージ大改造(使う意味無い位に)の方が大半だと思いますけどね。

    • by Anonymous Coward

      ドクターって、いろいろ事情があって事務やコ・メディカルみたいな一般職員のように内部統制が利きにくいんだよね。

      病院では医師が一番偉いのでルール作っても無駄って病院の情シス方面の人が言ってた。
      自分のPCを勝手にネットワークに繋いだりとか当たり前のようにやるんだそうな。
      システム上で対策するしかないって嘆いてましたね。随分前だけど。

  • by Anonymous Coward on 2018年10月25日 19時00分 (#3504458)

    同システムは10月1日に導入したばかりで、動作の確認期間中だった。

    とあるけど、平行稼働期間を設けずいきなり本番投入した感じ?

    • by Anonymous Coward on 2018年10月25日 19時45分 (#3504498)

      病院側の発表にもシステム検収中とあるので平行運用期間では有ったんじゃ。

      旧システム側と連携動作はしておらず、どっちも同様にデータ登録する必要が有ったとか
      旧システム側は参照様として書き込み禁止のお達しが出てたとか

      #並行期間と言いつつ、実質新システムしか動いていないケースもあるけど。

      親コメント
    • by Anonymous Coward

      変だよね。移行前のシステムのバックアップとか紙台帳があればそれから復旧できるはずだが。

    • by Anonymous Coward

      アプリケーションは並行稼働していたけれど、DBやストレージは新旧共用とか・・・

  • by Anonymous Coward on 2018年10月25日 20時06分 (#3504519)

    アンチウイルスは後手防衛手段に過ぎないのだから、それが古いからと感染してしまうような体勢にこそ問題がある。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...