患者ポータルのバグが歯科医院間で記録を露出させた
米国で5,000以上の歯科医院で使われている歯科診療所向け管理ソフトの開発会社Practice by Numbersが、ポータル経由で患者記録を露出させるセキュリティ不具合を修正したと、TechCrunchが報じた。この問題は、自身の歯科ファイルを確認するためにポータルを使っていた患者によって発見された。
報道によると、このバグにより、ログイン済みの患者が他の患者に属する文書へアクセスできた。露出したファイルには、個人情報、診療履歴、写真付き身分証明書、その他の文書が含まれていたとされる。文書の取得方法に不具合があったため、これを見つけた患者は、自分のファイルも他人に露出していた可能性が高いと述べた。
簡単に悪用でき、影響は深刻な問題
この脆弱性が注目されたのは、医療情報を扱っていたからだけではなく、悪用が非常に簡単だったからでもある。TechCrunchによると、患者はWebアドレス内の文書番号を変えるだけで他のファイルが見えてしまうことを発見した。文書番号も連番になっているように見えたため、ほとんど手間をかけずに他の記録を推測できる可能性があった。
この組み合わせは重要だ。高度な技術が必要な不具合も十分に危険だが、普通のポータル利用者でも再現できる不具合は、露出の範囲をはるかに広げる。このケースでは、システムへのアクセスに、正当な患者ログイン以外の専門的なツールや内部権限は必要なさそうだった。
患者が報告に苦労した後に修正された
その患者は、まずメール、次にLinkedInで会社に直接知らせようとしたが、TechCrunchに連絡するまで返答はなかったという。報道では、同社が公開していたメールアドレスは配信不能のメッセージを返しており、責任ある開示のための明確な連絡経路がなかったとされる。
この点は、バグそのものと同じくらい重要だ。今回の件は、消費者向け・業務向けソフトウェアに繰り返し見られる問題を示している。企業は利用者に機微なデータを託すよう求める一方で、セキュリティ問題を報告するための見える、実際に機能する窓口を持たない場合が少なくない。脆弱性を見つけた人が適切な担当チームにたどり着けなければ、露出の期間は本来より長く続いてしまう。
