植木鉢にマスターキー隠してたようなもんか(´・ω・)

»

外部委託する側、受託する側、双方の考えや状況を理解・把握し検証することが大切。病院以外の組織にも共通することですね。

"政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認"

せやろな速報

微妙な表現になっているけど、IDはドメインのadministrator、パスワードはベンダ納入時のデフォルトパスワードだったのでは？と。

おそらく同じですね。調査していく中で明らかになった模様です。

構築部隊 震えてるんやろなあ

使い回しが悪いんじゃなくて一定数のサーバーが必要な構成になった時点でID管理とかパスワードレス導入すべきあと通常ソフトが動かなくなるような対策ソフトしか作れない業界がもうね

維新が病院の統合してなかったら予備の病院として機能したのに、、、

デマで有名なサイトなので大企業叩き及び日本オワタ論のための記事だということは差し引くにしても、こういう何十年も前の感覚で現場回してることこそがIT後進国なんだよなあ……

NEC悪くないじゃん！

【ID,PW使い回し】
が手がけた病院の システムの半数以上で、サーバーと端末のIDとパスワードが使い回す状態にあった
第一報を報じたところ「NECだけではない」という反応も
↓メールに情報をお寄せください
net-shakai [a]

初期パスワードが全員同じで初回ログイン時に各自の固有パスワードを設定、とかじゃなくてパーマネントなパスワードを共通にしちゃったのか。

NECがきちんと認めているだけですごいと思ってしまう今日この頃。まず穴を点検し塞いでからマイナ保険証に移行してほしい。それでも漏洩リスクはゼロにはならないけど

セキュリティ感覚ゼロの見本なり！

政府から大阪急性期・ 医療センターに
>派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した

パスワードの中身までNECにまかせっきりやったん？
それだとしてもそこまでベンダーにおんぶに抱っこってのも駄目やろ。
IT介護してもらうのもたいがいにせな。

酷いな、これ。政府は保険証もマイナンバーカードに紐付けて管理しようとしているけど、システム全体が大きくなればなるほどセキュリティの穴も無数にできるんじゃないのか。

「NECは朝日新聞の取材に事実関係を認め、システムのセキュリティー対策を抜本的に見直す」

絶句…
拠点間を結ぶVPN接続パスワードを使い回すって有り得ない

ネットワークを医療システムの一部に含めて語るなや

「半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていた」

例えば、ワンタイムパスワードを導入しませんか？
を理事会の議題に上げたとします。
地獄の幕開けです。
誰かが言っていました、江戸時代の人にSNSを説明するのは地獄だと。

最近電カルのニュース多いね笑 これが日本のITのレベル😇

どちらが運用してたのかな。ま、責任の所在はともかくNEC、病院双方まずいよね。医療系の経験はないけれど、病院にはシステム管理の部門はないのかなあ。規模によるかな。

両方

生体認証が良いと思うのだが

【本文より】NECの電子カルテシステムを使う全国280の大規模病院の内、半数以上の病院でサーバーやPCが病院ごとに同じIDとパスワードを使い回す状態になっていた。システムは、多くの医療機器と接続し複雑な仕組みで動いている。このため、開発した業者しか把握できない。

＞センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。

病院側（センター）に、IT技術者を派遣するとかしないもんなんですかね💦

これって、一般人もやらない事なのに。

「今回の攻撃では、業者のサーバーに侵入したハッカーが電子カルテのサーバーにウイルスを仕掛け、IDとパスワードが同じだったため、他のサーバーなどにも被害が広がった」・・・IDは属人的にして，パスワード管理は個人でしっかりやらせないとダメだろうな。

全国280の大規模病院のうち、半数以上の病院でサーバーやパソコンが病院ごとに同じIDとパスワードを使い回す状態になっていたことがわかった。

これがあるから先端技術は怖い。どんなに高度なセキュリティシステムが構築されていても、それを使う人によっては、なんの意味もない状況は幾らでも想定できる。これからも「そりゃあかんやろ」は多発する。

医療費削減のためにはITによる効率化が必須だと思いますが、セキュリティの問題は避けて通れません。

生体認証などを導入すべきかもしれないですね。

センターの担当者は取材に「設定や管理をNECに任せきりだった」

が構築した システムの半数以上で、病院ごとにサーバーやパソコンのIDとパスワードが使いまわされていた。
を受けた大阪の病院では、これが原因で被害が拡大と専門家が指摘。
NECもこれを認め、セキュリティ対策を抜本的に見直す。

メモ→

管理者はアカウントを使い回すのが普通といっていたアホコンサルに、これ送りつけてやらんとwwww

朝日新聞

⚫️マイナカードで生きる権利を奪うな❣️
😭保険証廃止し4月医療受診費値上げ
😡子育て支援は対象外
😆高齢者免許返納者の福祉事業排除
😫資格確認書で不便強要

多要素認証で改善するかどうか。ガイドラインはガイドラインでしかないとか、医療監査する側にガイドラインを監査する能力は無いとかの問題もある。病院よりメーカー縛ったほうが早い気がする

NECレベルでこれなんだなぁ。

もうデジタルIDはどの大企業が構築に関わろうと現時点では崩壊していて被害は拡大の一方なんだから、パスワードレスや多要素認証やパスキーなど、国が義務化すべきなんだよ
Web3とかやってる場合じゃない

ずさんだなぁ、ニッポンの古株企業らしいというか…NEC評判悪いよね
元々

(パスワードをどうするかのポリシーも検討しようとしない）あんたらが悪いんでは / センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。 →

ガイドライン6.0に対策入れられるかな。

え、こんなに狙われ続けていたのに、しかも命をとられてるのに、こんな有様だったの？

え？

』 の新着エントリー

”病院の「心臓部」ともいえる電子カルテシステムは、多くの医療機器と接続する必要があり、複雑な仕組みで動いている。このため、開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は…「設定や管理をNECに任せきりだった」”

このようなシステムの仕様を決めたのは誰なのか。セキュリティはコストだけでなく利用者にも負担がおよぶ。
利用者がやな顔したのか提案もしなかったのか。そこが読めない

病院にもこういったプロが必要ですよね〜。
電カル情報の共有を目指すのであれば、なおさらシステムの維持管理の重要性は高まるはず。

これは明らかに使う側の問題

書き出しでもうダメ
>

その問題、 なら解決出来るよね🤔

やっぱりね

朝日はバカだな
事件発覚時点で使いまわしor初期パスのまま
ってのは容易に想像つくだろ

”センターの担当者は取材に「設定や管理をNECに任せきりだった」と話した。”

インシデントを起こすと、企業の信頼をなくす。楽天モバイルの不祥事もしかり。中小・零細の職場では、専任のセキュリティ担当者がいなかったり、詳しい人がいないかもしれない

コメント欄の指摘が非常にまともなので、頑張れNECって言っとく。

NECを信頼が失墜したのではないですか？ 使い回しなんてあっては成らない企業の一つでしょ！

NECね
うちの自治体もおんぶにだっこ

今朝の朝日新聞、須藤さんの記事

使い回しで崩れた「閉域網神話」 NECを揺るがしたサイバー攻撃
直接の原因はVPN装置などの脆弱性放置なんだろうけれど

ありがちなんだよね〜

IT大手でパスワード使い回し。
自分のことは一旦おいて、取り扱う情報の性質や脅威の度合いによって対応を変えるべき。
しかしどこまでインハウスで対応可能かは難問。

NECがこんなに正直に話すなんて……信じられない

それだけ、 から本気で直そうとしてるってことだよな

NEC側の責任にすることで話付いてるぽいけど、普通はシステム納入業者側が同一IDパスを勧める事はないやろうから、病院側の要請があった事も想像出来ちゃったり。

そもそもこんな重要なDBでIDとPWだけという化石仕様がおかしい。ID、PWに加えて、職員証での認証などを加えるものが常識。普通の企業でも社有PCでログインにICカード使ってる時代。

仕事のPCで、未だにエロサイト見てる莫迦が多すぎて
そう刈谷のトヨタ系部品メーカー
お前のことだよ

…だから マイナカードのセキュリティとサーバーが問題なんだって😡

電子カルテ、IDとPW（パスワード）使い回しでサイバー攻撃被害拡大 NEC構築

マイナーカード利権の為に
自民党にたくさん献金した効果がこんなに早く現れるとは・・😩
なっ！言ったろ
この国の情報セキュリティーが如何にユルユルかって

ふむ。。。”

こんなことするから、情報流出がーって、いわれるの！。セキュリティ教育を徹底しないと、命を預かるんだからしっかりしてほしいですよね。

こりゃあかんわ

「昨年10月、電子カルテのサーバーがランサムウェア（身代金ウイルス）に感染し、少なくとも数十台でデータが暗号化された」「約2カ月にわたって救急患者の受け入れや外来診療に影響が出た」

🤔見きり発車と言わずして.
開発した業者しか把握できず、病院側で専門知識を持った人材を育てにくい側面がある。センターの担当者は取材に「設定や管理をNECに任せきりだった」～

IDとPWで管理するのでは無く、医者や看護師の顔や指紋、光彩認証にするか、顔写真入りのパスカードをかざす（可能ならさらに顔認証等を追加）する方が良いのでは？

←セキュリティはシステムより人の運用の方が問題。それを強制的に防ぐ設計も必要だがまだ未解決。マイナンバーは扱う人が多い分、更に低レベルだろう。

注射器とパスワードは使い回しちゃダメです。

これだけの記事では、どこが最大の問題点なのか判然としませんが、忙しい現場のお医者先生方が、専門外の今のセキュリティ感覚とズレてても不思議じゃない気がする一方、それも許されない現状も……。(；ﾟｪﾟ；)

政府からセンターに派遣された専門家が、サーバーが次々とウイルスに感染した原因を調べたところ、IDとパスワードが使い回されていたことを確認。NECとセンターに「問題点」として指摘した。


ICT敗戦国

紙なら物理的に侵入されないと被害ないのにね

>

これは委託を受けたNECの大失態で、損害賠償ものですね！

IDとPWだけの問題と矮小化するのは拙い。複合的要因があると思われるし、ミスリードしかねない。
まさかとは思うが、院内1セグメントでNW設計してたりしないよね？VLANによる細かいアクセス制御は必要じゃないか？

使いまわすのが悪なのか、使いまわしを検出できないシステムが悪なのか。悪いけど僕の認識は後者だよ。なのでこの指摘はシステム的なリスクを自ら言ってしまったってことだと思う

NEC、はっきり言ってアホだね

業者に任せ切りが原因で
セキュリティ被害

政府のデジタル化でも
業者に任せ切りになるのは自明
セキュリティ被害が絶対起こる

しかも政府は
絶対責任取らない

医療機関の電子カルテって患者の氏名や保険証番号とかも登録されているよなー
保険証がマイナンバーカードと連携したら、ココからも個人情報が漏洩するだろうなー

NEC，富士通、IBMなどの電カルベンダーだけじゃなく構築運用するSIerも同じような認識を持ってる。
根本は病院側の医療情報部なんだけどな🙄少しずつ変わろうとはしている

ワンパスワードを使うか、生体認証にするかだね

セキュリティインシデント対応に関わる方であれば、NECだけでなく大手SIerがこうした脆弱なアカウント管理を行っていた場面に多く遭遇しているだろう。今に始まったことではないのにいつまでも改善できないのは図体のでかさのせいなのか、SI部門の無関心なのか、それとも。。

原因がお粗末すぎる…

閉じられたネットワーク(なお、閉じていない模様

何これ？一病院につき1つのID/PWでの運用をNECが設定・推奨してたっていうこと？犯罪的に間抜けとしか言えず、何の疑問も持たない病院側にも失笑。普通はアクセス権を持つユーザー毎にIDとPW設定するでしょう。

便利とは時に不便である…

病院も、院内SEを雇うの難しいと思う。
待遇面でも一般企業から比べると見劣りするし、募集しても集まらない。
NECも杜撰な一面が出たようだね。

日本人って危機管理が薄いんですね。

仕事のコンピューターで静脈認証を使ってたけど昨日までOKだったのに今日は拒否されて入れないとかありました 完璧で便利な方法ってないですよね しかし、IDとPWだけは弱いかも カードみたいな物理的なものをかませたほうが安心できそう

丸投げ+管理も全面依存というダブルイシュー。
結果的に高コストになってしまう←依頼者側に
専門家がいないとこうなる。

有りそうなケース。 ->

広島市はNECではなかった？公立学校の校務システム（学籍、指導記録、成績など）のほうは大丈夫なのだろうか？？

これ、部署ごととかで変更したら、通常業務に支障が出ると思うなぁ

ITの知識はパソコンを使う限り、どの職場でも必要なんです。ITパスポートはもっとも基礎的なIT知識が学べるので、社会人に必須と言われる資格になっています。就職に役立つかどうかでゴミ資格とするのはもったいない。

半田病院事件は氷山の一角。カルテベンダーは本当にセキュリティを無視してる。
・管理者ID、PASSが全国共通
・しかもバッチファイルに直書き
・ファイアーウォールを全てOFF
・UACも全てOFF
これらが手順書に書いてあって、抗議しても「何かあると困る」で絶対変えない。