Ziostation2にパストラバーサル脆弱性CVE-2026-40062、医用画像WSで機微情報漏えいの恐れ

「医用画像ワークステーションが攻撃を受けたら何が漏れるの？」
「認証不要のパストラバーサルって、何が怖いのでしょうか？」

チップス

ボス、ザイオソフトのZiostation2にCVSS 8.7のパストラバーサル脆弱性が出たって聞きましたでしゅ！

ボス

うむ。医用画像処理装置はDICOM画像など患者個人情報の塊だ。認証なしでファイルを覗かれるなら、医療機関にとって深刻な事案だな。

本記事では、Ziostation2のCVE-2026-40062（パストラバーサル）の概要と、医療現場で注意すべき影響、現実的な対策を解説します。

続きを読めば、パストラバーサルの仕組みから医療機関がいま打つべき対策までが具体的に分かります。

CVE-2026-40062の概要と公開情報

JPCERT/CCとIPAがJVN経由で公開した情報をもとに、押さえるべきポイントを整理します。

影響範囲とCVSSスコア

JVN#00575116によれば、対象はザイオソフトの医用画像処理ワークステーションZiostation2 v2.9.8.7およびそれ以前です。
脆弱性の分類はパストラバーサル（CWE-22）で、評価値は次の通りです。

チップス

認証もユーザー操作もいらないって、ほぼ素通りでしゅ…！

ボス

そうだ。攻撃の前提条件が極めて緩いタイプだから、対策は急ぎたい。ベンダー提供の最新版へ更新するのが基本線だな。

公開された影響と推奨対策

JVNでは「第三者によってOS上の機微な情報が取得される可能性」と明記されています。
対策はベンダー提供の最新版へのアップデートで、製品ラインに組み込まれた検証済みパッチを当てる流れになります。

医療機関で取るべき対応とパストラバーサルの怖さ

パストラバーサルが医用画像装置に存在する場合、PHI（保護対象保健情報）漏えいリスクが直接跳ね上がります。

パストラバーサルの仕組みとPHIへの影響

パストラバーサル脆弱性は、想定外のディレクトリ階層をHTTPリクエストなどに混ぜ込み、本来アクセスできないファイルを読み取らせる攻撃手法です。
医用画像ワークステーションが攻撃を受けると、DICOM画像、患者氏名、診療メモ、操作ログといった機微データが標的になり得ます。

個人情報保護法・改正医療情報安全管理ガイドラインの観点でも、PHIの不正取得は重大インシデント扱いとなります。

医療機関が取るべき具体的対策

すぐに更新ができない医療機関も多いため、暫定対策と恒久対策の組み合わせが現実解です。
院内ネットワークのアクセス制御を多層化し、影響を遅らせる工夫が要となります。

具体的な打ち手は以下の通りです。

チップス

うちの病院、医用画像系って業務系LANに丸ごとつながってるでしゅ…

ボス

そこが多くの医療現場の現実だな。まずはセグメント分離を急ぎ、ベンダー更新と並行で対応するのが定石だ。

まとめ

CVE-2026-40062は認証不要でPHIに到達し得る重大な脆弱性であり、医療機関は最新版への速やかな更新と院内ネットワークのセグメント分離を同時並行で進める必要があります。
市立奈良病院の事案と合わせて、医療界が境界とエンドポイント双方の対策を見直す契機といえます。

チップス

明日、医用画像のネットワーク図を引っ張り出してきますでしゅ…

ボス

ふふふ、それでいい。図がない病院も多いから、まず可視化が第一歩だ。