60万人の個人情報が流出した医療機関予約システムが想像以上にざるの可能性 ・ω・

医療機関予約システムに不正アクセス 最大60万人の情報流出か - 産経ニュース

アドウイックなどによると、昨年7月から今年10月10日までにインターネット予約システム「シマフクロウ・シリーズ」を利用した人の氏名、電話番号、メールアドレス、受診医療機関名、診察券番号などが流出した恐れがある。北海道を中心とした9道府県の約80の医療機関がシステムを導入。情報を悪用した被害は確認されていないという。

医療機関予約システムに不正アクセス

simafu4

シマフクロウ・リザーブ

「当日の時間予約」から「未来の時間予約」まで。
日本初のコンセプト(発想)で誰もが気になる時間のズレをリアルタイムであなたの手元に。
シマフクロウ・リザーブとは

携帯電話、スマートフォン、パソコンから24時間365日、いつでも時間予約ができる「WEB予約システム」です。
当日管理画面で診察中患者のボタンを押すことで「現実時間」と「診察患者の予約時間」の乖離時間を自動計算。
もしくは手動でプルダウンから乖離情報の記事を選んでWEB表示します。
予約をしている患者は院外から携帯電話やスマートフォンで随時、診察の進行状況を確認できます。
大きく時間乖離が発生した場合は患者へ「診察が遅れている事実」をメールで個人へ配信できる機能も搭載。

これらしい。
移管のニュースとか全部消されてる。
でも、システム自体は今も動いているらしい
・・・まぁ、急に止めたらトラブルになるもんね・ω・

というわけで簡単にセキュリティチェックしてみた
simafu
SSLがまず RC4

simafu2
予約システムのURLにクライアントIDがあるんだけど、どうやら数字に法則があるらしい。
同じ病院の予約システムの場合通し番号になっていて全部アクセス可能。

これには、ちょっといろいろ突っ込みたい・ω・;;;

simafu3
XSS の脆弱性チェックしてみた。 3つ脆弱性あり。
おそらくここから情報が漏れたらしい

おすすめ

2件のフィードバック

  1. 名無し より:
    2017年10月13日 4:26 AM

    この話題、他のメディアが取り扱ってないのが気になります。結構大事だと思うんですけどね。

    返信
  2. 名無し より:
    2017年10月13日 4:26 AM

    この話題、他のメディアが取り扱ってないのが気になります。結構大事だと思うんですけどね。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です