約 2,400 万人の医療患者のデータがインターネット上に漂っており、誰もが自由に閲覧できる状態になっています。これは、昔ながらの共通点である、極めて安全性の低いサーバーのせいです。
ドイツの脆弱性調査会社グリーンボーン・ネットワークスは、590の「オンライン医療画像アーカイブシステム」を発見した。そこには驚くべきことに7億3,700万枚の画像が含まれており、そのうち約4億枚はダウンロード可能だったという。
いわゆるPACS(画像保管・通信システム)サーバーは、1980年代のプロトコルであるDICOM(Digital Imaging and Communications in Medicine)に基づいて動作します。DICOMの用途の一つは、X線などの医療スキャン画像の保存と転送です。
グリーンボーン・ネットワークスのサイバーレジリエンス・アーキテクトで、この調査を主導したダーク・シュレーダー氏は本日、次のように述べた。「これらのサーバーの多くは全く保護されておらず、パスワード保護も暗号化もされていません。実際、一般のインターネットユーザーでも、ほとんど手間をかけずにこれらのサーバーにアクセスできてしまうのです。コードを書いたり、専門的なハッキングツールを導入したりする必要はありません。」
シュレーダー氏の研究者たちは、適切な検索パラメータを駆使して、非公開情報検索エンジン「Shodan」と「Censys」に足を運び、何が見つかるかを探っただけだった。その結果、英国、米国、カナダ、ドイツ、フランス、日本、ロシア、スイスなど、22カ国からの記録が見つかった。
米国だけでも、約1,370万人分の記録、3億300万枚の画像が流出しました。一方、英国では1,500人分の記録、1万3,000枚の医療スキャン画像が流出しました。さらに、これらの記録には、氏名、生年月日、スキャンの種類や医療処置、検査を行った医療専門家の氏名など、個人を特定できる情報(PII)が含まれている傾向がありました。
ウェブドキュメント iCliniq は、医療記録が詰まった S3 バケットの漏れを防止します
続きを読む
当然のことながら、個人情報の漏洩は、対象者自身を恐喝からなりすましまで、あらゆる犯罪行為の標的にする可能性があります。また、これらの画像を保有する企業は、様々なレベルの民事および刑事責任を問われるリスクにさらされることになります。
医療情報は、合法か否かに関わらず、データ処理を生業とするあらゆる企業にとって非常に貴重です。Facebookは昨年、アメリカの医療データを入手しようと試みました。一方、Googleは英国の機械学習スタートアップ企業Deepmindを買収し、同社の健康スキャン技術と健康データデータベースをGoogleと統合したことで悪名高い事件を起こしました。
データセキュリティに関しては、同じ単純なメッセージを繰り返すのは退屈になりがちです。しかし、世界がこのメッセージを理解するまで、私たちは繰り返し強調し続けなければなりません。®
