医療現場の認識が甘い!?

各社の心臓ペースメーカーから計8000もの脆弱性、米セキュリティ企業が発見。現場の甘い認識も指摘
ほかの機器は大丈夫か
engadget日本版より

---

セキュリティ企業WhiteScopeが、埋込み式心臓ペースメーカー用のプログラムソースから8000もの脆弱性を発見したと公表しています。埋込み式心臓ペースメーカーについては、今年1月に米食品医薬品局(FDA)が心臓ペースメーカーの多くに外部からハッキングされるおそれがあると警告を出していました。

WhiteScopeは、4つの企業が製造しているペースメーカーを調査したところ、合計で8000もの脆弱性を発見したとのこと。また調整やモニタリングツールの多くはユーザー認証機構がなく非常に危険だとしています。またそのソースコードは似通っており、製造企業間でなんらかのやりとりがあることも伺えるとのこと。

さらに問題として、本来は製造者の管理下におかれるはずのそれらツール類が、eBayなどで普通に出回っていることも指摘。研究者が実際に入手した調整ツールからは、使用していた患者の社会保障番号から氏名、電話番号、病名などがそのまま残されていました。

ジョンズ・ホプキンス大学のコンピューターサイエンス研究者マシューグリーン助教授は、医療機器に認証手順を加えてもそれがパスワードを記した付箋を貼ることにになるだけだという現場の状況もあり、その場にいる医療スタッフなら誰でも情報にアクセス可能になったと説明します。

また、プログラミング技術を持つ何者かが外部からペースメーカーにアクセスできるということをさほど問題視していないことも指摘しています。この背景には、機器を扱う病院が適切な医療機器の廃棄ポリシーを作っていないという問題があるとしています。

多くのセキュリティ研究者が心臓ペースメーカー製造企業に対して警告しているにも関わらず、現場の反応はまだあまり見えてきていません。セキュリティ企業のPonemon Instituteは、製造企業の17%しかまだ製品のセキュリティ対策を講じていないとう調査結果を発表しています。

幸いにも、外部からペースメーカーを操作された被害の報告例はまだないものの、サイバー攻撃がより一般的、より巧妙になるにつれて、医療機器を狙った攻撃が今後発生しないとも限りません。

実際に医療機関を狙ったランサムウェアのせいで、病院全体が機能停止に追い込まれる被害も発生しており、IoT時代が浸透するにつれ、ネットワークにつながる医療機器が増えつつあります。そろそろ製造企業側もセキュリティについての意識を引き締めるべき時期に来ているのかもしれません。

---

目の前の脅威と思っていた方が良いかも...
「そんな攻撃、うちには起こるはずない」
「メーカーが対策しているはずだから大丈夫」
...だなんて高括ってたら、痛い目に合うかもよ（汗）

上の記事を読んでも尚、メーカーを信頼できるかな？（苦笑）

IPA（情報処理推進機構）から、
他にもいくつかの事例が報告されている

調査報告書
https://www.ipa.go.jp/files/000038223.pdf

院内ネットワークや医療機器の
不正操作を医療施設側（臨床工学技士）が
積極的に試してみて
脆弱性を見つけ早めに対策を講ずるような
取り組みが必要かもネ