2023/04/01

大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書に学ぶ

大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書に学ぶ

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
情報セキュリティインシデント調査委員会報告書 概要版
https://www.gh.opho.jp/pdf/reportgaiyo_v01.pdf

 この事件、我々にも非常に教訓になる部分が多いですね。

 以下は、

地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター
情報セキュリティインシデント調査委員会報告書
https://www.gh.opho.jp/pdf/report_v01.pdf

 より。

「本事案は、病院が患者給食提供委託契約を締結していた E 社の給食センターのシステム構築事業者である C 社、および給食システムアプリケーションを提供している D 社がリモート保守に用いていたファイアウォール Z の脆弱性、または漏洩され公開されていた ID・パスワードを悪用して X が給食センターの情報基盤に侵入した。さらに C 社の情報基盤から病院に RDP1通信を用いて侵入。基幹システムや部門システムがランサムウェア「Elbie(エルビー)」に感染し、病院の電子カルテを含めたサーバーの大部分が暗号化され、ランサムノート(身代金要求文書)を提示し、内部侵入後には端末に不正なログオンを行った可能性もある事案であった。」

「中核的要因は、医療機関とベンダーなどのいわゆるステークホルダーとの責任分界点の不明瞭さである。サイバーセキュリティインシデントが起きた際に、どちらがどの責任に基づき行動を行うのか、特に本事案に関連している A 社、B 社、C 社、D 社、E 社を始めとしたステークホルダーとの契約や役割分担が明確でなかったことに問題がある。なお、この責任分界点の不明瞭さは、インシデントが発生する前の段階においても同様であり、保守や脆弱性管理などのセキュリティ対策に係る役割分担など、インシデントを防ぐための行動についても誰が何をするかの責任が不明確であった。
 さらに、病院におけるセキュリティに対する知識不足もさることながら、ベンダーの知識や意識、準備不足なども重なっていた。結果として、既定値のままのポートで RDP 常時接続が許可され、ユーザーにシステムの管理者権限が付与され、サーバーの管理者 ID とパスワードがほぼ同一であった。このように、一般的な対策が施されていなかったことによってインシデントが拡大した。」

「4.2.3. 技術的発生要因のサマリー

今回の侵入経路は、E 社の給食センターを経由したサプライチェーン攻撃であった。侵入経路となったファイアウォール Z のファームウェア更新は行われておらず、当該機器の ID とパスワードの漏洩も確認された。また、病院は C 社の依頼にしたがって、ファイアウォール Y において、E 社の情報システムからの RDP 通信(ポート番号:3389)を常時接続可能にし、その後、運用状況の確認や改善を怠ったため、E 社への攻撃が病院に波及した。」

「さらに、閉域網の安全性を過信していたことにより病院の情報システムのセキュリティが脆弱となっていた。そのため、侵入後にその機器を足掛かりにネットワーク伝いに次第に重要なサーバーや機器に近づく、いわゆる「横展開(水平展開)」を許してしまった。
 これまで医療機関においては「医療機関内部のシステムは外部とはつながっていない閉域網だから安心」という認識に基づいて、セキュリティを考えない傾向にあり、脆弱性が放置され、セキュリティを高める設定が行われない状況がある。その悪しき慣行も本事案を発生させる要因となってしまった。本事案においても、Windows の初期設定が適切に変更されていれば、大規模に横展開されることなく、インシデントの広がりを防げた可能性が高い。」

 で、まずやるべき対策は下記。


横展開を許した初期設定とその再発防止策の整理
再発防止策
⚫ ユーザーは原則管理者権限のない標準ユーザーアカウントに設定。
⚫ 管 理 者 権 限 を 持 つ ユ ー ザ ー は 、「administrator」のような安直なユーザー名を利用しない。
⚫ ユーザーアクセス制御3を適用させ、管理者権限を要する重要な操作が意図せずに自動実行されることを防ぐ。
Windows のパスワードを、サーバー、端末毎にすべて個別化(ユニーク化)。
アカウントロックアウトの設定を有効化。
電子カルテシステムサーバーにもウイルス対策ソフトをインストールする。


 各社、恐らくいろいろ頭痛いところですけれどね。

| | コメント (0)

2023/03/31

新型コロナワクチンの「8・8億回分契約」は根拠不十分…会計検査院が指摘、改善求める_読売新聞

新型コロナワクチンの「8・8億回分契約」は根拠不十分…会計検査院が指摘、改善求める_読売新聞

新型コロナワクチンの「8・8億回分契約」は根拠不十分…会計検査院が指摘、改善求める
読売新聞 2023/03/29 17:06
https://www.yomiuri.co.jp/national/20230329-OYT1T50211/

「コロナワクチンのように緊急確保が必要な場合も根拠となる資料を作成・保存し、契約の妥当性を検証できるよう改善を求めた。」

「検査院によると、厚生労働省は4社の供給可能数量や開発失敗の可能性などを考慮したとしているが、資料には契約の経緯や算定根拠の記述が不足し、妥当性を検証できないという。また、同省がワクチンの在庫数量を記録していなかったことも判明。検査院は「適時適切な在庫の把握は管理の基本」と不備を指摘した。」

 こういう報道で鬼の首とったかのように騒ぐ人たち予想されますが。
 要するに、問題の根本は、厚労省がこういう管理能力に不備あった点。

 本当は、厚労行政のスキルアップを促すべきなんですが。
 流石に、会計検査院も、そうは書けませんからね……。

| | コメント (0)

コロナ感染の10歳未満死亡、栃木で昨夏2例…県は「遺族の意向を踏まえ」公表せず_読売新聞

コロナ感染の10歳未満死亡、栃木で昨夏2例…県は「遺族の意向を踏まえ」公表せず_読売新聞

コロナ感染の10歳未満死亡、栃木で昨夏2例…県は「遺族の意向を踏まえ」公表せず
読売新聞 2023/03/30 07:39
https://www.yomiuri.co.jp/national/20230329-OYT1T50259/

「関係者によると、1人は昨年7月下旬に県南の病院に救急搬送され、容体が悪化。県内では受け入れ先が見つからず、埼玉県の病院に転院したが、新型コロナによる心筋炎で翌日死亡した。もう1人は昨年8月中旬、県南の別の病院に救急搬送され、急性脳症で翌日に死亡した。」

「県内では昨年4月29日、新型コロナの自宅療養中に急性脳症となった女児が死亡。県が公表した。」

 昨年からのコロナは、子供の被害が大きいわけで。
 海外ではかなりシリアスに捉えられてきたわけですけれど。

 日本では、あまり死亡例が報告されていないこともあって。
 親たちの接種忌避に繋がったように思われます。

 匿名化された情報の公表で、本人希望がどうのこうのではなく。
 公益を意識していたのか、というのは非常に気になります。

 反ワクの人たちって、公的機関の対応における脆弱性を衝くのが非常にうまい。
 愚者に見えても、こういう面では油断ならないんですよね。

| | コメント (0)

名誉毀損の記事掲載、ヤフーの責任を否定 「新聞社による自動配信」_朝日新聞

名誉毀損の記事掲載、ヤフーの責任を否定 「新聞社による自動配信」_朝日新聞

朝日新聞デジタル記事
名誉毀損の記事掲載、ヤフーの責任を否定 「新聞社による自動配信」
田中恭太2023年3月29日 19時05分
https://www.asahi.com/articles/ASR3Y66MPR3YUTIL014.html

「判決は内容は「真実でない」として名誉毀損を認め、東スポには165万円の賠償を命じた。」

 東スポが虚偽ばかり書いていることは周知かと思ったら。
 そうじゃないってことですかね。

 で、

「判決は、記事が新聞社の操作だけで自動掲載された経緯を踏まえ、ヤフーの賠償責任を否定した。」

「ヤフーの責任については、問題の記事は、事前に契約を結んだ新聞社が直接入稿できる仕組みを使って配信し、自動的に掲載されただけだと指摘。ヤフー側の判断で「トピックス」としてトップページに載せたり、アルゴリズムを使って「おすすめ記事」に表示したりはしておらず、「ヤフーの意思で流通過程に置かれたと評価するのは難しい」とした。

 そのうえで、他人の権利を侵害する情報を仲介しても、その情報の「発信者」でない限りは責任を負わないとするプロバイダー責任制限法を適用し、ヤフーの責任を否定した。」

 うーん、これって、被害はヤフー経由の方が大きいんでしょうに。
 なんか違和感ある判決という気がしてしまいますね。

| | コメント (0)

「トランプ氏の本性隠そうと必死」安倍晋三元首相の回顧録発売_産経新聞

「トランプ氏の本性隠そうと必死」安倍晋三元首相の回顧録発売_産経新聞

「トランプ氏の本性隠そうと必死」安倍晋三元首相の回顧録発売
産経新聞 2023/2/8 13:03
https://www.sankei.com/article/20230208-DR6XRT3Z4RIIBNZTB3ZL5MVNR4/

 安倍首相の回顧録が出たのですね。
 生前36時間のインタビュー収録はすごい。

安倍晋三 回顧録
中央公論新社 (2023/2/8)
安倍晋三 (著), 橋本五郎 (その他), 尾山宏 (その他), 北村滋 (監修)
https://www.amazon.co.jp/dp/4120056341

「良好な関係にあった米国のトランプ前大統領に関しては「実は軍事行動に消極的な人物」だと北朝鮮が知ったら圧力が利かなくなるため「本性を隠しておこうと必死だった」と振り返った。」

 なるほど。
 言われると納得ですね。

 早速Kindle本をポチりました。

 読み始めましたが、なかなか凄い。
 コロナ戦記の意味もあって、是非読むべきですね。

 なお、下記動画も是非。

【『安倍晋三回顧録』】「小池都知事はジョーカー」「習近平主席『米国人なら共産党には…』」安倍元首相が語った生々しい本音【深層NEWS】
日テレNEWS 2023/02/09
https://www.youtube.com/watch?v=9mpIxIqnuYo

| | コメント (0)

2023/03/30

「マレーシアは共産党と共産主義を厳に禁止している国家の一つである」_Reuters

「マレーシアは共産党と共産主義を厳に禁止している国家の一つである」_Reuters

 共産主義を禁止している国があると。
 ロイターの記事にありますね。


注目トピックス 経済総合
Reuters 2018年12月12日4:32 午後4年前更新
マレーシア共産党の歴史書が発売禁止処分 事実を歪曲し社会に害及ぼす恐れ
FISCO, FISCO
(翻訳編集・文亮)
【ニュース提供・大紀元】
https://jp.reuters.com/article/idJP00093300_20181212_00820181212

*マレーシアがなぜ共産党を禁じるのか

マレーシアは共産党と共産主義を厳に禁止している国家の一つである。その背景には、長年共産主義ゲリラによる破壊と殺戮の暗い歴史がある。


 ただ、提供元が大紀元ですか。
 中国に敵対的な考え方故の記述って可能性もありますね。

 ということで、他のサイトも確認してみました。
 在マレーシア日本国大使館サイトでも、共産主義は国の治安を損なうという書き方。


治安維持についての注意点(銃器規制)

銃器不法所持については銃器法等により厳しく規制されています。

過去に、日本人の短期商用出張者が、モデル・ガン(おもちゃの短銃)をマレーシアに持ち込み、出国の際の空港でのセキュリティー・チェック(スキャン検 査)で発見されて、「模造銃砲類所持違反」で警察に身柄を拘束された上、裁判の結果、有罪(罰金刑と拘留)となった事件が起きています。マレーシアでは日 本と事情が異なり、モデル・ガンの所持も犯罪となります。国の治安を損なう出版物(共産主義、民族等に関するもの)の発行・販売は禁止されています。

在マレーシア日本国大使館
https://www.my.emb-japan.go.jp/Japanese/guide2014/guide2014-5.html


 外務省海外安全情報でも同様の記述あり。


(3)その他
 賭博や売買春行為等には、厳しい規制と罰則が適用されます。十分御留意ください。そのほか、思想、宗教活動にも厳しい制限があり、国の治安を損なう危険性のある印刷物(例えば、共産主義等に関するもの)の発行・販売は禁止されています。

マレーシア ● 滞在時の留意事項 外務省海外安全情報
http://www.anzen.mofa.go.jp/m/mbconsideration_017.html


 なお、インドネシアでは、スハルト政権時代に取り締まりがあった模様。


「共産党関連本排除」で甦るインドネシアの歴史の闇
浮かび上がる、犠牲者100万人ともされる「虐殺の記憶」
JBpress 2019.8.8(木)大塚 智彦
https://jbpress.ismedia.jp/articles/-/57254?page=2

 1998年に崩壊するスハルト長期独裁政権時代は日本や中国からの共産党ないし共産主義に関連する書籍や文書の持ち込み、所持は厳しく検査されていた。


 過去の暴力的な歴史から、共産主義を取り締まる国があるのは、事実のようですね。

| | コメント (0)

2023/03/29

電子カルテ、全国で共有可能に…政府の医療DXでパンデミックなどに対応_読売新聞

電子カルテ、全国で共有可能に…政府の医療DXでパンデミックなどに対応_読売新聞


電子カルテ、全国で共有可能に…政府の医療DXでパンデミックなどに対応
読売新聞 2023/03/24 05:00
https://www.yomiuri.co.jp/politics/20230324-OYT1T50000/

 (略)

 厚生労働省によると、電子カルテの導入率は大規模病院では9割を超えるが、小規模病院や診療所では5割に満たない。医療情報の共有には漏えいなどを懸念する声が根強いため、政府は情報共有の効果と、情報漏えい対策を国民に丁寧に説明していく考えだ。


 電子カルテの導入を小規模病院・診療所にも進めていくと。

医療DXの推進に関する工程表(骨子案)に関する御意見の募集について e-gov
https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=495220429&Mode=0


医療DXの推進に関する工程表(骨子案) e-gov
https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000250052

Ⅲ 具体的な施策及び到達点

(1)マイナンバーカードと健康保険証の一体化の加速等

 (略)

 令和 5 年 4 月に、原則保険医療機関・薬局でオンライン資格確認に対応するとともに、訪問診療・訪問看護等、柔道整復師・あん摩マッサージ師・はり師・きゅう師等の施術所等でのオンライン資格確認の構築、マイナンバーカードのスマホ搭載によるスマートフォンでの健康保険証利用の仕組みの導入等の取組を進め、令和6年秋の健康保険証の廃止を目指す。また、生活保護(医療扶助)でのオンライン資格確認を令和5年度中に導入する。

(2)全国医療情報プラットフォームの構築

①共有可能な医療情報の範囲の拡大、電子カルテ情報の標準化等

 オンライン資格確認等システムを基盤として、概ね全ての医療機関・薬局に電子処方箋の実施を拡大していくととともに、全国の医療機関・薬局において、電子カルテ情報の一部の共有、閲覧を可能とする電子カルテ情報共有サービス(仮称)の構築に取り組む。

 (略)

 また、検査結果等については、PHR として患者本人がマイナポータルを通じ情報を確認できる仕組みもあわせて構築する。

医療機関・薬局における電子カルテ情報の共有を進めるため、医療機関における標準規格に対応した電子カルテの導入を推進する。併せて、標準規格に準拠したクラウドベースの電子カルテ(標準型電子カルテ)の整備を行っていく。

②自治体、介護事業者等とも、必要な情報を安全に共有できる仕組みの構築

 (略)

 こうした業務フローを見直し、関係機関や行政機関等の間で必要な情報を安全に交換できる情報連携機能を整備し、自治体システムの標準化の取組と連動しながら、介護保険、予防接種、母子保健、公費負担医療や地方単独の医療助成などに係る情報を共有していく。また、個人が行政手続に必要な情報を入力しオンラインで申請ができる機能をマイナポータルに追加し、医療や介護などの手続をオンラインで完結させる。

(3)診療報酬改定 DX

 (略)

 このため、マスタ及びそれを活用した電子点数表の改善・提供、診療報酬の算定と患者の窓口負担金計算を行うための全国統一の共通的な電子計算プログラムとして共通算定モジュールを開発・提供するとともに、デジタル化に対応するため診療報酬点数表におけるルールの簡素化・明確化を図り、これらのマスタ、モジュールとの連携を前提とした標準型電子カルテの提供により、医療機関のシステムを抜本的にモダンシステム化していく。
 (略)

(4)医療 DX の実施主体

(略)

| | コメント (0)

2023/03/28

日本でも4割の人がすでにコロナに感染 抗体調査から分かることは?_忽那賢志医師

日本でも4割の人がすでにコロナに感染 抗体調査から分かることは?_忽那賢志医師

日本でも4割の人がすでにコロナに感染 抗体調査から分かることは?国内でもコロナは広がりにくくなる?
YAHOO!JAPANニュース 忽那賢志感染症専門医
2023/3/19(日) 10:48
https://news.yahoo.co.jp/byline/kutsunasatoshi/20230319-00341710

 4割がコロナ感染とはビックリですが。
 複数回罹患した人もいるので、そういうデータになるのかも。

 で、オミクロン株は減っていく可能性高いとしても。
 やはり、新しい株次第なんですね。


それでは今後5類感染症になる新型コロナについて、私たちが気をつけるべきことはどういったことでしょうか。

感染者数の急激な増加を抑えて流行の規模をなるべく小さくすることが医療の逼迫を避けるためには必要になります。5類感染症になった後も流行状況が悪化した時期にはマスク着用、こまめな手洗い、3密を避けるなどの感染対策は重要です。

また高齢者や基礎疾患のある方など重症化リスクの高い人はワクチン接種をアップデートした状態を保つことでご自身を守るようにしましょう。


 今後も、ワクチン接種の更新は必要。
 状況が悪化してきたら、再度マスクの着用も視野に。

 手洗い等は、常にやるべきだと。
 まぁ、このまま感染しないままで終わりたいものだなぁと。

| | コメント (0)

2023/03/27

「念書」に反して映像を放映、TBSに550万円賠償命令 東京地裁_朝日新聞

「念書」に反して映像を放映、TBSに550万円賠償命令 東京地裁_朝日新聞

朝日新聞デジタル記事
「念書」に反して映像を放映、TBSに550万円賠償命令 東京地裁
田中恭太2023年3月24日 20時34分
https://www.asahi.com/articles/ASR3S6SVBR3SUTIL021.html

「判決によると、男性は2019年2月、運営していた私設私書箱が詐欺未遂事件に使われているとしてTBSのディレクターから取材を受け、顔は出さず、声も加工するという念書を交わした上で応じた。翌月に神奈川県警に逮捕されると、「『私書箱は悪用された』と話していたが、ほとんどがうそだった」とのナレーションと共に取材映像がそのまま放送された。男性は後に不起訴処分になった。」

 逮捕されたから、もう無効だろうと、勝手に約束を破ってしまったわけですか。

「判決は、放送は男性を「犯人」と示す内容で、社会的評価を低下させたと判断。「約束にも反し、映像の公表のあり方として相当とはいえない」と述べた。」

 念書を交わしても無駄。
 こういう連中は守る気がない、と理解しておくしかないのでしょうね。

 で、550万円って、実際の社会生活の被害のどれだけをカバーできるのか。
 正直、この名誉毀損訴訟で得られる賠償額が低すぎる気がしますけどね。

| | コメント (0)

高市早苗「この文書が差し込まれたということについてはよくよくその事情は理解しました」

高市早苗「この文書が差し込まれたということについてはよくよくその事情は理解しました」


あんかけナポリ@napori_ankake

本日、国会でスゴい発言が飛び出した。

高市大臣
「報告書に名前が出ている以外の複数の関係者に確認をした結果、この文書が”差し込まれた”ことについて。その事情は理解した」
「記録者の名前がある文書(大臣レク)に関しては法的に問題ない。”控訴時効”は過ぎている」

ド直球の凄まじい反論。

午後5:16 2023年3月27日
https://twitter.com/napori_ankake/status/1640266647599714304


 下記ですね。

【国会中継・LIVE】参議院 予算委員会集中審議【ライブ】(2023/3/27) ANN/テレ朝
ANNnewsCH 2023/03/27
https://www.youtube.com/watch?v=Y4FKdvs3PaA&t=46m47s

 それにしても、高市大臣の答弁を邪魔しようとする野次酷いなぁ。

| | コメント (0)

«債権と請求権は別物とする説その2_ゼロからマスターする要件事実