パスワードを忘れた? アカウント作成
16681 story

病院端末1300台がウィルス感染、診療にも影響及ぶ 67

ストーリー by mhatta
おっとろしいのう 部門より

masakun 曰く

時事ドットコムの記事によると、千葉大学付属病院で11月9月5日早朝、女性職員が患者への説明資料を作成中に中国のサイトにアクセスしたところ、Delf.dyに感染してしまったという。病院システムに導入されていたウィルス対策ソフトウェアでは検出できなかったようで、その結果病院の情報システムを通じ、午前7時半までに院内のほぼすべて、1300台のクライアントとサーバにまで広まってしまったという。このため、処方箋の発行や会計などの業務にも影響が及んだそうだ。患者の個人情報の外部流出はないとのこと。
一体どんなサイトにアクセスして感染したのか、トロイの木馬がどうやって短時間でシステム全体に悪影響を及ぼしたのか、興味深いところ。

実は9月のニュースでした。見事に引っかかってしまい申し訳ない(mhatta Fri, 16 Nov 2007 00:33:31 +0900)
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by HeliosReds (10760) on 2007年11月15日 21時37分 (#1250967) 日記
    9月5日の時点で今年2月に出現した新型に対応できないという時点で
    ウイルス対策ソフトとしてダメダメだったということになりませんか?

    # …ていうか、パターンファイルを更新するように
    # 設定されていなかったんじゃないか?
    • by Anonymous Coward on 2007年11月15日 21時55分 (#1250983)

      通常、病院はセンシティブな情報を扱うということで業務系はインターネットから切り離して運用することが多いんですけどねえ。

      可能性として、
      ・初めは業務系とインターネット系が分かれていた
      ・ウイルス対策は月に1度パターンファイルをUSBメモリあたりで業務系サーバに落とす運用に決定、とか
      ・そしてその運用が形骸化
      ・先生方から不満続出
      ・情報担当、仕方なく業務系をインターネットに接続(病院に限らず「先生」と名の付く職業の方々は他の職業の方に比べ個性が強く情報系の担当者の立場が相対的に弱かったりする)
      ・結果こうなる

      ...と予想。

      #完全に妄想ですよ妄想。そしてAC。

      親コメント
      • だいたいあたり。
        ただ、医療情報部という部署の考え方によりけりで(トップは多分医者)、
        そこの先生ができる人で、予算をとってこれればちゃんとした
        firewall と保守がはいっているでしょう。

        また、切り離していても
        医用画像や検査データを学会発表用に電子カルテやPACSから
        抜き出す必要があり、USBメモリをつっこんだりしています。
        そこから感染することもままあり。
        その辺の情報管理もあいまいだし、担当者不在だったり
        担当者はぜんぜんわかってなかったり。

        正直、医療情報なんて汎用機でどこかで集中管理してもらって
        現場には3270端末でもいいだろと思います。
        画像も院内のPACSとどこかの計算機センターとつないで
        管理してもらったほうが検査の重複などもなくていいと思います。

        多くの現場において、医療情報を管理する能力はありません。
        コンピュータのことを知っていることになっている医者が
        「医学的に」という言葉で技術論を踏み潰して、まともなエンジニアは
        やる気を失います。
        親コメント
        • by Pravda (33859) on 2007年11月16日 1時01分 (#1251079) 日記
          正直、医療情報なんて汎用機でどこかで集中管理してもらって 現場には3270端末でもいいだろと思います。

          3270端末には、ファンクションキーが24個もありますから、それぞれのキーに機能を割り振れば、医療事務の効率アップが見込めます。

          汎用機のデータ・バックアップも、ガラス張りのマシン室内のオープンテープ装置で行えば、「ああ、仕事してるんだなあ」と、医療費用負担者も深く納得するとか。


          # オープンテープはさておき、どこの病院でも端末が同じで医療事務の操作が標準化されているというのは、すごくいいアイデアかも。

          親コメント

        • 多くの現場において、医療情報を管理する能力はありません。
          コンピュータのことを知っていることになっている医者が
          「医学的に」という言葉で技術論を踏み潰して、まともなエンジニアは
          やる気を失います。


          しかし、元来の向学心の高さからか
          矢鱈とアレゲな医者が居るのも事実ですな(個人的には開業医に多いような気もする)

          ……収入もあるんだろうしな
          • 医者の収入っていうとき、事業者としての収入と、個人としての収入を一緒くたに考えてる人が多いのかね?
            農家や漁師だって、事業者としては普通にん千万円ぐらいの収入はあるわけで。
            雇われが少ないのはいずこも同じ。

  • by Technobose (6861) on 2007年11月15日 22時51分 (#1251011) 日記
    けど、それを入れたからといって収益に直接結びつくものではありません。
    一方、厚生省は電子カルテまで一気に普及させたいんですね。
    電子カルテまでいかないオーダリングシステムでも止まったら病院機能が麻痺してしまうシステムですが、きちんと運用体制を整えている(整えられる)医療機関はごく限られているかと思います。
    いろいろメリットがあることがわかり始めているので導入も次第に進み始めてますけど、システムの満たすべき要件や運用体制などの(強制力の有る)ガイドラインが無いまま導入が進んでいるので、そのうち社会問題化しかねないとは思います。

    十年程前、私が計画を立てたところでは、業務系と情報系は別系統のLANにてクライアントのOSはNTにしました。当時としては、かなりセキュリティと効率のバランスを考えた構成だと思うのですが、導入したパッケージの構造の根本的なセキュリティの欠陥を見つけてしまった・・・・。
    それにドクターはなまじパソコンを使っているので、メディアを勝手に抜き差ししたりして大変でした。
    • >一方、厚生省は電子カルテまで一気に普及させたいんですね。

      看護師をしてる母親&妹からの意見

      ・電子カルテ入力端末は直感的ではないため、現場の人間としては使いづらい
        (ちなみに、ザ○ルス&PCらしい)
      ・紙ベースでの仕事をやってきたので、↑のように強く感じてしまう(曰く、思考のタイムラグがあるらしい)
      ・現場は時間との戦い。一々端末に入力するのが面倒くさい。
      ・そもそも端末の起動が遅い
      ・結局紙のカルテも書いているから二度手間

      電子カルテイラナイ( ゚д゚)、ペッ
      親コメント
      • 「後々の整理や集計はだいたい楽になるけど、入力に関してはあまりメリットがないことがよくある」
        これが電子化の時に昔からよく壁になるポイントだと思います。
        データーベース化さえしてあれば、よっぽどとんでもない構造でもない限り集計や検索は可能ですが、
        表向きのユーザーインターフェースに関しては無頓着、まともな設計が可能な人も少ない、
        ベタで作った入力フォームがあるからいいだろ的で何だこれってことが…。

        データの構造よりも前段階のデータ入力でコケるって忌々しき問題のはずですが、
        これもユーザーインターフェースを改良した所で収益が上がらないからでしょうか。
        確かに上がりませんわ。
        個人の能力と慣れの問題にされがちですし。
        裏方ではないのに軽視されてるってひどいけど。

        #そんな魔法あんのかよと言われれば、ある程度はありますよ。
        #全部入れとか見た目重視じゃなくて作業フローとか思考のポイントで考えれば。
        --
        =-=-= The Inelegance(無粋な人) =-=-=
        親コメント
        • > 全部入れとか見た目重視じゃなくて作業フローとか思考のポイントで考えれば

          それが一番良く分かるのは現場の作業者ですが、
          システムや開発業者の選定、要件や仕様の策定にはなかなか関われません。
          でハンコ握ってるおエライさんの意向に沿った「全部入れとか見た目重視」のシステムができあがります。
          「システム導入の成果を学会で発表するからもっと画面カッコ良くして」とか。
          • まあ、一方であんまり細かいオーダーにまではしゃかりきにならなくても構わんと思うんですけどね。
            機械音痴ぐらいまでは守備すべき範囲ですが、
            末端の開発レベルで機械アンチとか機械アレルギーの精神面まで対応するとかイヤですし。
            現場レベルの意見を組むまでもないセオリーとかありますし。

            で、見た目重視がとは言いましたが、本当は見た目も大事なんですよね。
            最もアホなのは見た目も内容もひどい奴な訳で、それすら見繕う気も予算も納期もなかったのかよみたいな。
            --
            =-=-= The Inelegance(無粋な人) =-=-=
            親コメント
      • 「だったら手書き認識できるようにすればいいじゃない」という、実にマリーアントワネットな事をやっていたような気がする(苦笑
        いや、まぁ、確かにソレが出来るなら一番なのだが……。
        手術シミュレータとか自律判断の出来るAIペットロボットとか、この作者、ITに関してはシロートさんのようですが、まぁ少年誌だしね。

        ※1
        肝心の医療分野に関してもいろいろ言われているようだが、そっちは素人なのでノータッチ(苦笑)

        ※2
        目標として「手書き認識の電子カルテ」を否定しているワケぢゃない。いつかできるといいとは思し、確かに入力方式の革新を起こせるとは思う。音声認識よりよほど敷居は低いが……医療カルテで使用できる信頼性を確保できるにはまだまだ敷居が高すぎる、というのが素直な感想
        • >手術シミュレータとか自律判断の出来るAIペットロボットとか、この作者、ITに関してはシロートさんのようですが、まぁ少年誌だしね。
          そんなのが実現できる遠い未来じゃないと実用的な電子カルテなんて無理だって言いたいのでは?
    • by okky (2487) on 2007年11月16日 0時12分 (#1251058) ホームページ 日記
      あえて言わせてね。

      けど、それを入れたからといって収益に直接結びつくものではありません。


      予測される平均損害額を安く見積もりすぎているだけでは?

      収益に直接結びつくからと言って、便所をつぶしてベッドルームを増やす病院がないのは、便所をつぶした場合の被害が甚大である事が判るからですよね?この手のセキュリティものも「便所と同じだ」と思うんですよ。

      えぇ、なので皆さん、今後は口をそろえて啓蒙呪文を唱えましょう。

      「ウィルスソフトは便所と一緒。
        あっても嬉しくないけど、ないと困る。
        しかも何でもいいんじゃなくて、
        導入するならウォシュレット。」
      --
      fjの教祖様
      親コメント
      • by Technobose (6861) on 2007年11月16日 9時01分 (#1251136) 日記
        リスクはある程度の常識と専門知識がないと見えてこないんです。
        担当者が損害が起きうると対策を考えても、それを理解できる経営者が了承しなければリスク対策は行えません。
        私の担当した病院では、以前書いたように大手SIerからの転職者(年上)は「ウィルスが発生したらネットからワクチンのお試し版をおろしてくればいい」といったり、経営者は2000年問題でシステムが止まったら会計ができないというと「ニチイに委託してるんだから人手を増やして残業させればいい」なんていうようなところでした。
        開院した時から十数年たち、外来も倍以上増えているし、医療事務も複雑化していて、どれくらいの作業量が発生して対応できそうも無いことを説明してもです。
        一回、自分が事故に遭わないと、なかなかリスクは実感できないので、こまめに事例を集めて原因・経過・結果・対策をまとめておくべきだとは思いました(が、それをやっても変わらなかった・・・)。
        コスト管理とリスク管理できない人は管理職以上にはして欲しくない・・・・。
        親コメント
        • リスクはある程度の常識と専門知識がないと見えてこないんです。

          果たして正確に「リスク」を見積もる必要はあるだろうか??

          別の言い方をしましょう。
          便所が無い場合のリスクって、病院の経営者にちゃんと予測できるんでしょうか?
          出来ないと思うんですけれど??

          ただ、便所が無かった場合の被害を想像できるので『無いと困るよね』という一言が説得力を持っているだけでしょう??

          セキュリティものが便所と一緒だ、というのはそういう意味なんですけれど??
          正しいリスク計算より、説得力が大事。説得力は定量的・論理的事実以外にも持たせる方法はあるってこと。

          # なお、すでにお判りのようにほとんどの人はこれができません。
          # ゆえにただいまですと、私が1時間1億円ほどで説得方法を
          # コンサルいたしますが… :p これで、説得力0がなんと
          # 50% にまで向上いたします (^o^)。
          --
          fjの教祖様
          親コメント
      • >予測される平均損害額を安く見積もりすぎている

        当たらなければどうということはない
    • by Anonymous Coward on 2007年11月16日 0時15分 (#1251061)

      だから、徐々に診療点数の構造を変えているわけです。次第に電子カルテやオーダエントリで
      うまい運用ができていないと、レセで渋い点数しか取れない状態になるんじゃないかな。

      今は地味な点数だけど、医療機関や業界が、これをネタに運用経験を積めるか
      どうかが今後の分かれ道、と思ってます。

      ガイドラインなんかは近年盛んになってきていますよ。
      ただ、未だに"俺流"運用したがる人が多いのが現状です。
      いくらガイドラインができようと、システムが実装しようと、現場にその意識がなきゃ無駄。
      その点をシステム会社がコンサルをできるか、また病院側が意識を持てるか、が直近の課題。

      #業界の人なのでAC
      親コメント
      •  で、国の施策として、病院からレセプト(=保険の請求)提出を紙から電子的な提出(現在はFDDやMO、最近はネットワーク経由の送信)をすると
        点数加算する、と言う物があります。
         レセプトを受取る国保の業務負担軽減もありますが、レセプトの検査(不正請求や、点数計算のミスの発見)が容易になり
        医療費の削減に繋がるという国のもくろみがあるのです。
        親コメント
  • by Motohiko (15295) on 2007年11月15日 22時55分 (#1251020) ホームページ

    時事ドットコムの記事 [jiji.com]によると、千葉大学付属病院で11月5日早朝、女性職員が患者への説明資料を作成中に中国のサイトにアクセスしたところ、Delf.dy [pctools.com]に感染してしまったという。

    11月5日ではなく9月5日です。masakun氏の日記 [srad.jp]を見た時「何故今更」と思ったんですが、今月の出来事と勘違いしたんですね。というか時事ドットコムの記事のURI…。

    とりあえず今日、千葉大付属病院へと検査に行ってきたんですが業務は通常に行われていました。前回は8月なので混乱している期間は見ていません。ただし、完全復旧かどうかまではわかりません (10/29時点ではまだだったらしい [hatena.ne.jp])。

  • by Anonymous Coward on 2007年11月15日 21時32分 (#1250962)
    医者の不養生ってのは本当なのですね
  • 夜勤のついでに資料作成してたんでしょうかね?
    • by lynnlynn (15967) on 2007年11月15日 22時39分 (#1251003)
      当直中で患者が来ていない間、病棟から呼ばれない間(つまり、寝ているとされている時間)しか
      文書書く暇ないんですよ。入院患者の診断書とかね。保険会社にだすやつ。
      夜勤のついで、なんてことはありえないし、そもそも夜勤なんて言葉は
      勤務医には存在しません。通常の勤務で7:00 - 23/24:00 なんてのはざらです。
      当直って言うのは7:00 - 翌朝まで勤務してそのひも夜22時ぐらいまで勤務する、
      40時間連続勤務程度の事を指します。

      #ぼくの友人がいってたところは 6:00 - 26:00 でした。さすがにそこはきつそうだった。
      親コメント
      • 医者が忙しいのは認めるが、職員の話だろ?
  • 情報公開 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2007年11月16日 12時28分 (#1251256)
    使用していたウイルス対策ソフトを公表すべき!
  • ああ、ウイルスには無力ですか(笑)
    --

    ------------
    惑星ケイロンまであと何マイル?
  • by Anonymous Coward on 2007年11月15日 21時30分 (#1250958)
    Delf.dyのリンク先にあるSpyware Doctorの胡散臭さが気になった。
    これって使っても大丈夫なやつなのか?
    • delf.dy - Google 検索 [google.co.jp]

      今のところトップリンクですが、delf.dy が trojan (トロイの木馬)であることを示すためのリンクであって、そのページで紹介されているツールの安全性については保証いたしかねます。当たり前ですけど。

      セキュリティホールmemo - 2007.11 [ryukoku.ac.jp]経由ウィルス感染の危機管理 - Okamura's Blog [mie-u.ac.jp]によると、

      ウィルス対策ソフトのパターンファイルが最新であったにもかかわらず,職員のWeb閲覧でPE_MUMAWOW.AJ-Oに感染,電子カルテや会計システムなどが利用不能に。Windows Update+ウイルス対策ソフトでは対策にならない例。

      ここでは delf.dy とは違う名前が挙げられており、実際Web閲覧中に感染するおそれがあるのは delf.dy だけではないわけですから、
      「delf.dy が検出できます」という触れ込みだけで、胡散臭そうなツールを試用しようとするのはいかがなものかと思います。

      結論 定評のあるツールを使ってください。
      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • しまった、/blockquote で閉じるのを忘れてしまった。


        ウィルス対策ソフトのパターンファイルが最新であったにもかかわらず,職員のWeb閲覧でPE_MUMAWOW.AJ-Oに感染,電子カルテや会計システムなどが利用不能に。Windows Update+ウイルス対策ソフトでは対策にならない例。

        ここでは delf.dy とは違う名前が挙げられており、実際Web閲覧中に感染するおそれがあるのは delf.dy だけではないわけですから、
        「delf.dy が検出できます」という触れ込みだけで、胡散臭そうなツールを試用しようとするのはいかがなものかと思います。

        # 仕事中に片手間でコメントを書くのはやめよう
  • by Anonymous Coward on 2007年11月15日 21時46分 (#1250977)
    せめてFWでスキャンする奴導入するとか、きちんと仕組みごとにLANを分けるとか対策のとりようもあるだろうに。
    病院のシステムって、企業システムと同レベルかそれ以上にクリティカルな部分もあるだろうし
    運用が大変なのはわかるけど、もう少し真面目にやって欲しいものだ
    • 残念ですが、病院の実情をしれば、全く状況は違います。

      まずいわゆる国立病院(国立病院機構)の病院では、システム管理者の選任を置くための経費は認められていません。
      ちょっと詳しい放射線技師や検査技師、ひどいところは医師がそれに近いことをやっています。
      せめてルータをいわゆるセキュリティールータにして欲しいのですが、それもなかなか何かの予算にこっそり紛れ込ませるしかないですし、
      予算削減の折、見つかって削除されたりします。

      業者も責任をとらせられては困るので、提案は非常に堅い案=高い案を提示することが多いように思います。
      結局、これも採用されません。

      一応、インターネット系と業務系は分けていることが多いのですが、正直、あちこちでウィルスが発生します。
      はい、ほとんど医者(特に非常勤医)のUSBから感染した、としか思えない例が多いです。

      まともな提案者と、決裁者がいる国立以外の病院では合理的な対応をしているところも見ますが
      この2つの条件がそろうのは非常に厳しいです。

      具体的に話を見たり聞いたりしている身なのでAC
      親コメント
    • by Anonymous Coward on 2007年11月15日 22時00分 (#1250986)
      そういう「余計なソリューション(※)」に金をかける組織など滅多にありません。
      病院とて例外ではありません。

      ※世間一般の認識なんていまだにそんなものです。
      親コメント
      • by lynnlynn (15967) on 2007年11月15日 22時43分 (#1251006)
        病院情報システムにちゃんとお金をかけるのは
        痛い目にあったことがあるか、
        上がそういうのが好きか、
        お金が余ってるか、っていうところだけ。

        ねぎってねぎってねぎりまくって必要なものまで削って結局
        使えないものが導入されて紙と計算機併用して逆に仕事が増える。
        何か事故があったときにまずその当事者の責任にしかしない。
        病院にはシステムが悪いという考え方は存在しません。
        おそらくこの事例も「この人が中国のサイトにアクセスしたから!」
        なんてことで手打ちになっていることでしょう。
        親コメント
    • まあ、この国の保険制度と同じように
      厳密にコストを評価ってのは不可能な業界だしね。特に日本では

      ある意味ものすごい閉鎖的で世間知らずの(対等な交流がない)人たちの塊だから
      世間一般の組織がやっている事をこの人たちに求めるのは不可能ではないかと。
  • by Anonymous Coward on 2007年11月15日 21時52分 (#1250981)
    SeagateのHDDにマルウェアが混入する騒ぎが起きてますね。

    Seagate HDDに混入のウイルス、ネットゲームを標的に
    http://www.itmedia.co.jp/enterprise/articles/0711/14/news049.html [itmedia.co.jp]

    論理フォーマットとブートセクタ書込みだけでも、ユーザー自身がやれって事なのかなぁ?
    • SeagateでHDD作るよりもネトゲでアカハックしてbot増やすなり売買したほうが犯人的にはよりウハウハってことなのか。
      その収益構造自体が歪んでてかなりヤバいね。
      USBメモリでも似たような騒ぎがあったし、そろそろマシな給与体系とかマジで考えた方がいいんじゃね?
      • by Anonymous Coward on 2007年11月16日 8時48分 (#1251128)
        中国くらいあからさまに国家的諜報活動としてバレバレの外国政府へ
        不正侵入を試みている国はありませんが、これだけ人員やお金をかけて
        やってるんですから、ネットワークゲームを使って諜報活動に乗り出しても
        おかしくないかもしれませんね。

        たとえば「無料で遊べるオンラインゲーム」とか韓国からよく入ってきますが、
        そのノリで世界中のPCにインストールさせるように仕向けておいて、
        インストールしたPCから情報を盗み出すと。
        ネットワークゲームですからウィルス対策ソフトは排除できないし、
        外部と通信をするものだから通信パターンで排除することも難しい。

        考えてみれば、百度なんていうサービスを日本に無理に浸透させようというのは
        国家的情報収集と考えても間違いないかもしれませんね。
        例えばGoogleは、世界で最も脆弱性のあるノードの情報を持っている組織ですが、
        百度はそれを狙っているという可能性もあります。
        検索エンジンを装っておけば、堂々と脆弱性スキャンができますからね。
        親コメント
        • 投稿内容の前半部分は確かに興味深い指摘ではあると私も思いますが、
          百度のくだりはちょっと無理があるかなと。

          外部から脆弱性のスキャンとなるとまずはポートスキャンの類をして、
          特定のサービス(sshとか)のポートが開いていればそこにいろいろ
          突っ込んでみるみたいなものだと思いますが、そんなことやったら
          百度だろうとGoogleだろうとすぐに話題になってしまいますよ。

          実際、百度(の日本法人)が強引なクロールした程度でおいおいって
          話になって、サービス開始する前から百度の偉い人が謝罪する羽目に
          なったということもありますし。

          また、百度のサービス展開にしても、検索が提供されている程度で、
          GoogleのDesktopSerchみたいなPC内の情報を得るようなものは全然ありません。
          百度を使って脆弱性のあるノードの情報を国家的に収集している
          みたいな見方は過大評価もいいところで、MMRの類の漫画の見すぎと
          言われても仕方ありません。
          親コメント
  • by Anonymous Coward on 2007年11月15日 23時36分 (#1251038)
    女性職員が患者への説明資料を作成するため、端末を使って中国のサイトに接続した際に感染。

    どんな情報が資料に必要で中国のどんなサイトにアクセスしたのかのほうが気になります。
    漢方関係?
    • by Anonymous Coward on 2007年11月16日 10時03分 (#1251165)
      大学で講義する際のスライド資料(配布なし・プレゼンのみ)に使う写真やイラストをgoogle検索なんかで探してますと、意外と引っかかってくることがあります>中国のサイト

      医学学術誌からそのままスキャンしたようなものが豊富だったりするので、正直「使いてぇ」と思うことも多い。
      親コメント
      • by masakun (31656) on 2007年11月16日 11時28分 (#1251213) 日記
        >学学術誌からそのままスキャンしたようなものが豊富

        今回は人体図だったようです。

        Medi+'ystem - フォーラム [opus-medi.co.jp]によると、

        具体的に公開されたことは、中国のサイトで、人体図を参照しようとしたところWEBページから感染した、そのウイルスは中国発の新種で2月に発見されたということだ。このような条件に該当するウイルスとしては、通称お祈りパンダというウイルスがある。アイコンを全てパンダに変えながら増殖するのが特徴とのことだ。ウイルスチェックソフトで発見されないことも多く、完全に駆除できるワクチンもない。

        病院図書になら人体図の学術書くらいあるでしょうから、説明用に本のコピーでもとればこれほどの騒ぎにならなかったかもしれませんが、人体図の画像を拾ってくるサイトが悪かったみたいですね(違
        記事にある「お祈りパンダ」ウィルスは中国国内で数百万台感染した [itmedia.co.jp]と報じられていましたから、アングラサイトに限らず、Web閲覧中にダウンロードされようとするサイトには気をつけろということですか。

        --
        モデレータは基本役立たずなの気にしてないよ
        親コメント
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...