100%安全はありません「電子カルテや決済情報もハッカーの攻撃対象 」

電子カルテや決済情報もハッカーの攻撃対象

サイバーセキュリティー会社2社がウェブサイト上で、ハッカーが医療施設から電子カルテや決済情報を簡単に入手できるようにする文書を発見した。
ハッカーがよく利用するサイト「4shared.com」で発見されたこの文書には、コンピューターネットワークで使用されている機器のタイプやコンピューターなどのIPアドレスのほか、介護施設、医師のオフィス、病院などの医療施設が導入しているネットワークファイアウォールのパスワードが詳しく書かれている。
セキュリティー専門家らは、こうしたネットワークにアクセスできれば、サイバー犯罪者は簡単に詳細な個人情報を見つけられるようになると指摘した。盗まれたクレジットカード情報は販売され、医療情報は保険金詐欺に利用される恐れがある。

ウォール・ストリート・ジャーナル(WSJ)がこのサイトで検索したところ、ニューヨークの3つの介護施設(ブロンクス・センター・フォー・リハビリテーション・アンド・ヘルスケア、グレンガリフ・ヘルスケア・センター、キャンベル・ホール・リハビリテーション・センター)の情報が見つかった。
専門家らによると、4shared.comは無料ファイル共有サイトで、ハッカーがデータをダンプするのに使う複数のサイトの1つ。同サイトはコメントの要請に応じなかった。 グレンガリフは、WSJから連絡を受けるまでネット上に同施設の情報が漏れていることに気付かなかったという。広報担当者は、4shared.comに掲載された文書はグレンガリフが電子カルテソフト「SigmaCare」を最初にインストールした2007年以降のもので、インストール後すぐにパスワードを変更したため問題はないと述べた。また、患者の医療情報や個人情報が盗まれたという報告もないとした。
ブロンクス・センターは、12年初めにセキュリティー侵害を受けたことを知り、セキュリティー業者を変えたと述べた。広報担当者によると、同施設も個人情報が盗用された事件は報告されていないという。
キャンベル・ホールはコメントの要請に応じなかった。
サイバーセキュリティー専門家らによると、3つの施設に関する文書は、ニューヨークのイーヘルス・ソリューションズ(株式非公開)が設計したSigmaCareにアクセスした人物が4shared.comに掲載したとみられる。
イーヘルス・ソリューションズのスティーブン・パシーコ最高経営責任者(CEO)は、SigmaCareの機密ファイルがネット上で公開されたことを認めたが、ハッカーらがこれをどのように入手したかは分からないと語った。
また、SigmaCareは個人情報を暗号化しているとし、「このソフトにアクセスできても、個人の医療情報を取得することはできない」と述べた。
医療機関では、個人情報保護に関するトラブルが増えている。
透析装置や画像装置といった医療機器はネットを通じてサービスが提供されることがあるためだ。こうした機器のソフトは通常、ネット経由で管理されたり、アップデートされたりする。また、サイバー犯罪者が医療施設に侵入してクレジットカード情報が含まれた請求システムや電子カルテへのアクセスを試みることができる入り口も数多くある。

医療記録の電子化を進めることは、ネット上の大量の重要情報がハッカーに狙われることを意味する。
サイバーセキュリティー研究・教育機関のSANSインスティテュートのディレクタ-、ジョン・ペスカトーレ氏は、例えば管理者のパスワードがあっても、医療施設のネットワークに侵入し、医療記録のデータベースのパスワード入手を目的とした悪質なソフトをインストールさせることは簡単だと述べた。
セントルイスのサイバーセキュリティー会社、ノースコープも4shared.comで、さまざま医療施設の機密医療情報を発見した。同社によると、病院や医師のオフィス、製薬会社、医療保険会社など約375の米国の医療関連機関のネットワークが昨年9月から10月にかけてハッカー攻撃を受けた。盗まれた情報の一部が4shared.comなどのサイトに掲載された。
SANSインスティテュートは、医療施設のネットワークを狙った深刻なハッキング問題の証拠をつかんでおり、19日にネットワークの脆弱(ぜいじゃく)性に関する報告書を発表する予定だ。具体的には、透析装置と磁気共鳴画像装置(MRI)に不正アクセスがあり、個人の医療情報が漏えいした証拠が見つかり、医療施設のセキュリティー対策が概して、大量のハッカー攻撃に追い付いていないことが明らかにされている。
セキュリティーコンサルティング会社のアンフィールド・グループのマネジング・プリンシパル、パトリック・ミラー氏は、ネットワークにつながったソフトやセンサーを導入する企業が増えるにつれて、サイバーセキュリティーの問題も深刻化していると指摘した。

米医療当局は、医療情報のプライバシーとセキュリティーの厳重な管理を義務付けている。
ノースコープのサム・グラインズCEOによると、ブラックマーケットではカルテが1件約60ドル(約6100円)、クレジットカード情報が通常、同約20ドル(約2030円)で販売されている。カルテは「保険金詐欺や処方箋の偽造など使い道が多いため、より価値がある」という。
プライバシー・情報保護調査会社ポネモン・インスティテュートのラリー・ポネモン会長は「サイバースペースの悪人どもが医療記録に目を付けているのは間違いない」と述べた。

【ウォールストリートジャーナル】



ネットの世界は原発と一緒で100%安全神話はありません。
by kura0412 | 2014-02-18 16:29 | 医療政策全般 | Comments(0)