AIが電子健康記録プラットフォームで38個のセキュリティ欠陥を発見

出典: pandpstock001 via Shutterstock

OpenEMRコードベースのAI駆動型分析により、世界中の100,000以上のヘルスケアプロバイダーに使用されているオープンソース電子健康記録（EHR）プラットフォームで、38個の未公開脆弱性が発見されました。

これらの脆弱性はすべて現在パッチが適用されており、重大度は中程度から重大にわたり、認可チェックの欠落または不正確さ、クロスサイトスクリプティング（XSS）欠陥、SQLインジェクション、パストラバーサル、およびセッション関連の問題が含まれています。

3ヶ月で30以上の欠陥

これらの欠陥は、OpenEMRのコードベースを自律的にスキャンするために同社のAI駆動型プラットフォームを使用したAisleの研究者によれば、OpenEMR導入に対する広範な攻撃を可能にしていた可能性があります。「最も重大なケースでは、SQLインジェクション脆弱性が限定的なデータベース権限と組み合わさった場合、データベース全体の侵害、大規模なPHI流出、およびサーバー上のリモートコード実行につながる可能性がありました」とサイバーセキュリティベンダーは今週のレポートで述べています。

Aisleはわずか3ヶ月間で38個の新しいCVEを発見し、OpenEMRチームに報告しました。OpenEMRチームは2月にソフトウェアの更新版（バージョン8.0.0）をリリースし、その後3月に追加の問題に対処するためにさらに多くのパッチをロールアウトしました。

この発見は、AI駆動型ツールがどのように脆弱性調査を根本的に変革し、以前は数ヶ月の苦労して手動分析を要していたものを数週間、さらには数日に圧縮してきたかの最新の例です。Aisleがレポートで指摘したように、2018年にセキュリティ研究者チームによって実施されたOpenEMRの同等の独立したセキュリティ監査はより長くかかり、23個の脆弱性という小さなセットしか得られませんでした。

新たに発見された脆弱性の加速する流れは、セキュリティチームに対して新たな課題をもたらし始めており、トリアージ、優先順位付け、およびパッチ適用の観点から見ると、特にAIツールが発見する多くの問題が取るに足らない、または関連性がないことが判明しているためです。また、悪意のある行為者が防御者が対処する機会を得る前に同じAIツールを使用して脆弱性とエクスプロイトを発見することへの懸念も増加しており、これはAnthropicの最近のProject Glasswingの開始を促しました。

注目すべき脆弱性

Aisleのレポートは、新たに発見されたOpenEMRの脆弱性3つを強調しています: CVE-2026-24908、CVE-2026-23627およびCVE-2026-24487。

CVE-2026-24908は、外部システムが患者記録を要求・取得することを可能にするOpenEMRの患者REST APIの最大重大度の欠陥（CVSS: 10.0）です。このSQLインジェクション欠陥により、OpenEMRへの有効なログイン認証情報を持つ誰もが、パスワードハッシュを取得し、任意のデータベーステーブルの内容を閲覧する方法が与えられます。特定の条件下では、攻撃者がサーバー上の任意のファイルを読み書きし、基礎となるシステムの完全なリモート制御を奪取することを可能にします。

CVE-2026-23627（CVSS: 8.8）は同様のSQLインジェクション欠陥で、OpenEMRの予防接種追跡モジュールに影響を与えます。この欠陥により、認証済みの攻撃者が特別に作成されたSQLクエリを使用して基礎となるデータベースを乗っ取り、患者の健康情報と認証情報を盗み、いくつかの条件下ではリモートコード実行を有効にすることができます。

CVE-2026-24487（CVSS: 6.5）は、OpenEMRのFHIR CareTeamエンドポイントの認可バイパス欠陥で、外部ヘルスケアシステムが患者の治療に割り当てられた臨床スタッフの記録を取得することを可能にするインターフェースです。この欠陥により、関連する患者のデータだけでなく、システム内のすべての患者のデータが誤って返されました。

発見した38個の脆弱性それぞれについて、Aisleはまた、OpenEMRメンテナーが既存コードに直接レビュー・適用できる修正も提案し、対処に必要な時間と努力を最小限にしました。OpenEMRはその後、AisleのAI駆動型アナライザーをコードレビュープロセスに統合し、新しいコードの脆弱性を自動的にスキャンし、本番環境前に対処するようにしました。