チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「OSSの医療記録システムに38件の脆弱性って多すぎないか?」
「AIが脆弱性を発見する時代に、医療機関はどう備えればよい?」
チップスボス、OpenEMRから一気に38件もCVEが出たでしゅ。最大スコア級が2件含まれてるって本当でしゅか?
ボスそう、最大深刻度のSQLiが2件含まれている。AISLE社のAI解析ツールが見つけたもので、医療データという機微情報の塊だけに見過ごせない事案だ。
世界10万カ所以上で利用されるOSS電子カルテ「OpenEMR」に、AI解析を起点とした38件の脆弱性が報告され、開発元によって修正されました。
本記事では、発見の背景、特に深刻なSQLi、そして医療機関が押さえるべき対策を順番に整理してお届けします。
医療データはひとたび漏洩すれば回復できない情報資産です。
最後まで読めば、自院や委託先で取るべき具体的な対応がはっきり見えてきます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
まずは公表された全体像と、攻撃者側に渡ると致命的な脆弱性を整理します。
セキュリティ企業AISLEは、2026年第1四半期に同社のAIアナライザーをOpenEMRのコードベースへ適用しました。
結果として38件のCVEを発見し、これはOpenEMRがGitHubで公開してきたセキュリティアドバイザリ全体の半数を超える規模です。
AIによる脆弱性発見の精度向上が、攻撃者・防御者双方に同じだけインパクトを与え始めていることがわかります。
とりわけ深刻なのが、ORDER BY句にユーザー入力をそのまま連結していたSQLiの2件です。
有効な認証を持つ攻撃者であれば、データベース全体の侵害、認証情報の窃取、さらには任意コード実行までの一連の攻撃が可能でした。
パストラバーサルやセッション関連の欠陥もあわせて修正されており、認証突破後の被害が広がりやすい構造でした。
チップスORDER BYに直接入力を連結って、初歩的なミスじゃないでしゅか……
ボスそう。だが大規模な歴史あるOSSでも残ってしまう類のミスだ。「枯れた」と思っていた基盤こそ、AI解析で深掘りする価値があるな。
修正適用だけでなく、過去の侵害可能性まで含めた対応が必要です。
OpenEMRの最新バージョンへの更新が、もっとも急ぐべき対応です。
並行して、過去のアクセスログから不審なクエリ文字列(ORDER BY部分の不自然な構造、UNION SELECTなど)が記録されていないか確認しましょう。
外部に公開している場合は、WAFで既知の攻撃パターンを遮断しつつ、業務継続中であってもアクセス制御を見直す必要があります。
医療OSSはサポート体制や開発リソースの制約から、脆弱性公開と修正適用にタイムラグが生じがちです。
そのため、定期的なバージョン棚卸しと、社内CSIRTによる脆弱性監視サブスクリプションが鍵となります。
また、医療データを扱うAIツールやベンダ各社にも同じ水準を求めるサプライチェーン管理が、ここから先の差別化要素となります。
| 運用領域 | 見直しポイント |
|---|---|
| バージョン管理 | 四半期ごとの棚卸しと適用計画 |
| 脆弱性監視 | JVN・CISA KEV等の継続購読 |
| サプライチェーン | 委託先のパッチ適用状況の把握 |
OpenEMRの38件のCVEは、AIが「枯れた」OSSの内部にも深い欠陥を見つけ出せることを示しました。
医療機関が抱える患者情報は機微度が極めて高く、修正適用と侵害確認は急務です。
この機会に、自院・委託先の双方で脆弱性管理の運用を一段引き上げてください。
引用元:SecurityWeek – 38 Vulnerabilities Found in OpenEMR
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
