最も広く使用されている電子医療記録プラットフォームの自動化されたAI駆動型分析により、38個の未知の脆弱性が発見されました。これには、CVSS最大重要度スコア10.0の2つの重大な欠陥が含まれています。これらの脆弱性は、自律型のAI先住型アプリケーションセキュリティプラットフォームであるAISLEと、オープンソースで米国政府認定のプラットフォームであるOpenEMRの間の協力の一部として特定されました。その目的は、悪意のある行為者によって悪用される前に、プラットフォームの重大な脆弱性を特定し、修復することでした。
OpenEMRは世界中の100,000以上の医療提供者によって使用されており、プラットフォームは世界中で200万以上の患者にサービスを提供しています。OpenEMRはライセンス料がなく、運用コストが比較的低い無料のオープンソースソフトウェアであり、リソースが限定されている医療提供者にとって人気のある選択肢となっています。このプラットフォームは米国で広く使用されています。
AISLEによる分析は、2026年第1四半期に39個のGitHub Security Advisory (GHSA)脆弱性をもたらし、重大、高、中度の重要度脆弱性が含まれており、39個の脆弱性のうち38個がCVE指定を受けました。最も深刻な2つの脆弱性は、患者およびプロバイダーデータへのアクセスと書き換え、完全なデータベースの侵害、およびサーバ上でのリモートコード実行を実現するために悪用される可能性がありました。これにより、ePHIを大規模に流出させることができました。最大重要度の欠陥の1つは、インターネットに到達可能なOpenEMRインスタンスで認証なしでリモート攻撃者によって悪用される可能性がありました。
AISLEが特定した脆弱性は、2026年第1四半期にGitHubで公開されたOpenEMRセキュリティ脆弱性の総数の半分以上を占めました。「これらの公開は、AIの時代に医療機関が直面する脅威の増加を反映しています」とAISLEの共同創業者兼最高科学責任者であるStanislav Fortは述べています。「人間の生命とアイデンティティが危機に瀕しているため、医療コードベースのセキュリティを確保することほど重要な問題はほとんどありません。AISLEとOpenEMRの協力は、AI駆動の分析が献身的でリーンなチームが重要なシステムを防御し、準拠した状態を保つのに役立つことを示しています。」
脅威アクターはますますAIを使用してコードを分析し、悪用可能な脆弱性を特定しているため、防御者も脆弱性の発見と修復を加速させるためにAIを使用することが重要です。AISLEとのパートナーシップを通じて、OpenEMRメンテナーは脆弱性が悪用される前に修正することができ、今後数年間OpenEMRを保護するためにAISLEとのパートナーシップを開始しました。
AISLEは、38個のCVEのそれぞれについて、OpenEMRの独自の抽象化、認可パターン、および衛生化ヘルパーを使用したリポジトリネイティブの修正提案を生成しました。AISLEは重大な脆弱性の1つについて修正を実施し、他の重大な欠陥については、OpenEMRメンテナーはAISLEの提案された修復を最終的な修正に採用しました。OpenEMRメンテナーは、ソフトウェア脆弱性を自動的に検出、分類、および修正できるAISLEのAIネイティブAppSecプラットフォームにアクセスできるようになりました。OpenEMRは、追加のチームメンバーを雇用することなく、防御を強化することに焦点を当てることができるようになりました。本番コード内の脆弱性を特定するためにプラットフォームを使用することに加えて、OpenEMRはAISLE脆弱性アナライザーを使用してコードを分析し、本番環境に到達する前にセキュリティの問題を特定しています。
翻訳元: https://www.hipaajournal.com/ai-analysis-38-flaws-openemr-platform/
