医療機関のIT機器のセキュリティ対策 − バッファロー製Wi-Fiルーターの脆弱性に注意
医療機関のオンライン化が進む中、セキュリティ対策の重要性が高まっています。特に、マイナ保険証によるオンライン資格確認やクラウド型電子カルテ、電子薬歴の導入により、ネットワーク機器の安全性が患者情報保護の要となっています。今回、広く使用されているバッファロー製Wi-Fiルーターに重大な脆弱性が発見されました。
近年、医療機関においてマイナ保険証を用いたオンライン資格確認やクラウド型電子カルテ、電子薬歴など、オンラインでつながる機器が増加しています。これに伴い、IT機器のセキュリティ対策がますます重要になっています。特に、専任のIT担当者がいないクリニックや薬局では、こうしたネットワーク機器のメンテナンスも定期的に医療者自らが行うことが求められます。
最近、バッファロー製のWi-Fiルーターおよび中継機18製品にOSコマンドインジェクションの脆弱性が発見されました。この脆弱性は、管理画面にログインしたユーザーが特定の画面から細工されたリクエストを送信することで、任意のOSコマンドを実行される可能性があるものです。
重要な点として、この脆弱性は5月22日付でメーカーサイトに公開されました。その後の調査により、約50台程度のバッファロー製品およびその内部から、マルウェアが発信したと思われる通信が確認されています。さらに、対象者には総務省NOTICEプロジェクトの枠組みを活用し、ISP経由で通知が行われました。
対象となる製品は以下の通りです。
いずれも、8月26日時点の最新版ファームウェアで対策済みとなっている。
・WHR-1166DHP2 Ver. 2.95以前
・WHR-1166DHP3 Ver. 2.95以前
・WHR-1166DHP4 Ver. 2.95以前
・WSR-1166DHP3 Ver. 1.18以前
・WSR-600DHP Ver. 2.93以前
・WEX-300HPTX/N Ver. 1.02以前
・WEX-733DHP2 Ver. 1.03以前
・WEX-1166DHP2 Ver. 1.05以前
・WEX-1166DHPS Ver. 1.05以前
・WEX-300HPS/N Ver. 1.02以前
・WEX-733DHPS Ver. 1.02以前
・WEX-733DHPTX Ver. 1.03以前
・WEX-1166DHP Ver. 1.23以前
・WEX-733DHP Ver. 1.64以前
・WHR-1166DHP Ver. 2.92以前
・WHR-300HP2 Ver. 2.51以前
・WHR-600D Ver. 2.91以前
・WMR-300 Ver. 2.50以前
良い機会なので、ネットワーク機器を使用している医療機関は、以下の対策を講じることが重要です。改めて見直してみましょう。
1.ファームウェアの更新
ルーターやWiFiアクセスポイント機器などは、一見すると家電製品のようでありコンピュータのように見えませんが、中身は立派なコンピュータです。専用のOSで動いており、定期的にファームウェアのアップデートが必要です。放置すれば、脆弱性となり外部からの不正アクセスの入口となってしまいます。
2.定期的なセキュリティチェック
IT機器の脆弱性情報を定期的にチェックし、必要な対策を迅速に実施してください。またIT投資を惜しまないでサポート契約があれば加入しておきましょう。
3.アクセス制限
Wi-Fiルーターの管理画面へのアクセスを必要最小限の担当者に制限し、不要なアクセスを防止してください。
4.パスワード管理
管理画面のパスワードは定期的に変更し、複雑で推測されにくいものを使用してください。
5.外部からのアクセス制限
可能な限り、Wi-Fiルーターの管理画面へのアクセスを院内ネットワークからのみに制限してください。
6.セキュリティ研修
スタッフに対して、基本的なIT セキュリティの知識や注意点について定期的に研修を行ってください。専任担当が居ない医療施設のネットワーク機器のメンテナンスはどうしても特定の人に集中し属人的になりがちです。ネットワーク構成や使用機材などはリストにまとめて誰でも最低限のメンテナンスを行えるようにしておくことが望ましいです。
また、専任のIT担当者がいない医療機関では、これらの対策を確実に実施するために、外部のIT支援サービスの利用を検討することも有効です。患者情報を扱う医療機関にとって、IT機器のセキュリティ対策は最重要課題の一つです。今回のような脆弱性情報に迅速に対応し、安全な医療サービスの提供に努めましょう。
comments