チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「医用画像ワークステーションが攻撃を受けたら何が漏れるの?」
「認証不要のパストラバーサルって、何が怖いのでしょうか?」
チップスボス、ザイオソフトのZiostation2にCVSS 8.7のパストラバーサル脆弱性が出たって聞きましたでしゅ!
ボスうむ。医用画像処理装置はDICOM画像など患者個人情報の塊だ。認証なしでファイルを覗かれるなら、医療機関にとって深刻な事案だな。
本記事では、Ziostation2のCVE-2026-40062(パストラバーサル)の概要と、医療現場で注意すべき影響、現実的な対策を解説します。
続きを読めば、パストラバーサルの仕組みから医療機関がいま打つべき対策までが具体的に分かります。
JPCERT/CCとIPAがJVN経由で公開した情報をもとに、押さえるべきポイントを整理します。
JVN#00575116によれば、対象はザイオソフトの医用画像処理ワークステーションZiostation2 v2.9.8.7およびそれ以前です。
脆弱性の分類はパストラバーサル(CWE-22)で、評価値は次の通りです。
| 評価軸 | 値 |
|---|---|
| CVSS v4.0 基本値 | 8.7(重要) |
| CVSS v3.0 基本値 | 7.5 |
| 攻撃元区分 | ネットワーク |
| 必要権限 | 不要(認証不要) |
| ユーザー関与 | 不要 |
チップス認証もユーザー操作もいらないって、ほぼ素通りでしゅ…!
ボスそうだ。攻撃の前提条件が極めて緩いタイプだから、対策は急ぎたい。ベンダー提供の最新版へ更新するのが基本線だな。
JVNでは「第三者によってOS上の機微な情報が取得される可能性」と明記されています。
対策はベンダー提供の最新版へのアップデートで、製品ラインに組み込まれた検証済みパッチを当てる流れになります。
パストラバーサルが医用画像装置に存在する場合、PHI(保護対象保健情報)漏えいリスクが直接跳ね上がります。
パストラバーサル脆弱性は、想定外のディレクトリ階層をHTTPリクエストなどに混ぜ込み、本来アクセスできないファイルを読み取らせる攻撃手法です。
医用画像ワークステーションが攻撃を受けると、DICOM画像、患者氏名、診療メモ、操作ログといった機微データが標的になり得ます。
個人情報保護法・改正医療情報安全管理ガイドラインの観点でも、PHIの不正取得は重大インシデント扱いとなります。
すぐに更新ができない医療機関も多いため、暫定対策と恒久対策の組み合わせが現実解です。
院内ネットワークのアクセス制御を多層化し、影響を遅らせる工夫が要となります。
具体的な打ち手は以下の通りです。
チップスうちの病院、医用画像系って業務系LANに丸ごとつながってるでしゅ…
ボスそこが多くの医療現場の現実だな。まずはセグメント分離を急ぎ、ベンダー更新と並行で対応するのが定石だ。
CVE-2026-40062は認証不要でPHIに到達し得る重大な脆弱性であり、医療機関は最新版への速やかな更新と院内ネットワークのセグメント分離を同時並行で進める必要があります。
市立奈良病院の事案と合わせて、医療界が境界とエンドポイント双方の対策を見直す契機といえます。
チップス明日、医用画像のネットワーク図を引っ張り出してきますでしゅ…
ボスふふふ、それでいい。図がない病院も多いから、まず可視化が第一歩だ。
