ハッキングコンテストで優勝した「イプシロンデルタ」チーム
[画像のクリックで拡大表示]
ソフトウエアにおけるセキュリティーの脆弱性を探す「バグハンティング」によって、医療系ソフトウエアの欠陥を探す――。神戸デジタル・ラボとヒューマンスピリッツが共同で「医療セキュリティハッキングコンテスト 2016」を開催し、80超の脆弱性を発見した。
コンテストは2016年5月28日と29日の両日、合計18人が6チームに分かれて実施。最も多くの脆弱性を発見した「イプシロンデルタ」チームが優勝、賞金10万円を獲得した。
セキュリティーホールとも呼ばれる脆弱性を攻撃されると、データベースへの不正侵入による患者情報の流出、管理者権限への不正アクセスによるカルテ改ざんなどが想定され、万が一の場合、機微情報が多い医療データは深刻な打撃を受けることになる。
今回のハッキングはあらかじめそうした危険性をエンジニアが発見して予防策とするのが目的。実際に日本で流通している医療系ソフトウエアを対象とした。同社によれば、流通ソフトウエアを利用してのハッキングコンテストは日本初とのこと。2日間を通し、クリティカル(致命的かつ危険性の高い)な脆弱性が50超、全体では80超の脆弱性が発見された。
主催の神戸デジタル・ラボセキュリティーソリューション事業部 三木剛氏は「結果を見る限り『閉じられた(インターネットに接続しない)環境の中でしか使用しないだろう』と、医療系ソフトウエア開発でセキュリティー対策を後回しにしてきたことが証明されたのではないか」とコメント。今後はネットワークとの連携がさらに加速することから、セキュリティーレベルの底上げについて警鐘を鳴らした。
