• 
• 
• 

　昨年10月にサイバー攻撃を受けた大阪急性期・総合医療センター（大阪市）で、約2千人の職員がパソコンを使うために割り当てられたパスワードが、すべて同じだったことがセンターなどへの取材でわかった。センターでは、電子カルテの管理用IDとパスワードも使い回され、サイバー攻撃の被害拡大につながったことが判明している。

　電子カルテを構築したNECによると、職員がパソコンを使う際には、ICカードをかざした上で職員ごとに異なる認証コードを入力していた。コードが正しいことを確認すると、認証システムは全員に共通するパスワードと職員ごとのIDをパソコンに送信し、電子カルテに接続できるようになる仕組みだった。

　IDには規則性がある職員コードを使っており、ここに同じパスワードを使い回すことで、第三者に悪用されるリスクが高い状態だった。実際には、ウイルス感染や不正侵入は確認されていないという。

　これとは別に、センターでは、電子カルテサーバーとパソコンを管理するためのIDとパスワードの使い回しも判明しており、ランサムウェア（身代金ウイルス）の感染が拡大する原因となった。

　セキュリティー専門家の杉浦隆幸さんは「ICカード認証を使って安全を担保しているように見せかけた、見た目だけのセキュリティー対策と言われても仕方がない」と指摘する。

　この仕組みはどのようにしてできたのか。

　NECは取材に対し、同社側…