人工呼吸器や麻酔器もハッキング!?

2019年7月13日土曜日

お仕事 時事ネタ

輸液ポンプ、インスリンポンプ、ペースメーカーなんかで
ハッキングによる遠隔操作が懸念される脆弱性が発見され話題になっていたよね(汗)

関連記事:「医療機器の脆弱性が、みるみる明らかに(汗)

あ...ちなみに透析装置のハッキングは、一応オレが既に実証済み(笑)
透析装置にハッキングを試みた \_ヘ(ω`*)ポチットナ

...そんでもって、
いよいよ人工呼吸器や麻酔器にも見つかった模様(汗)

病院の麻酔器と人工呼吸器に遠隔操作可能な脆弱性
TechCrunch Japanより

多くの病院で利用されている麻酔器と人工呼吸器で使われているネットワーキングプロトコルに脆弱性があることをセキュリティー研究者らが見つけた。悪用されると医療機器の誤動作につながる可能性もある。

医療セキュリティー会社のCyberMDXの研究者らによると、医療機器のGE AestivaおよびGE Aespireは、病院のターミナルサーバーに接続されていると、コマンド送信に利用される可能性がある。それらのコマンドは、アラームの停止や記録の改変などができるほか、悪用されると人工呼吸器や麻酔器で使用する麻酔ガスの組成を変えることもできると、研究者らは言っている。

米国土安全保障省は米国時間7月9日に勧告を発表し、この脆弱性の悪用に必要な「スキルは低い」と語った。「問題の機器は独自プロトコルを使用している」とCyberMDXの研究責任者であるElad Luz(エラッド・ルス)氏は言った。「コマンドを推測するのはごく簡単だった」。

解読されたコマンドの1つは、装置が旧バージョンのプロトコルを使用するよう強制できる(旧プロトコルは互換のために今も装置内にある)とルス氏は言う。さらに悪いことに、どのコマンドにも認証は必要ない。同氏によると「どのバージョンでも、まず一番古いプロトコルに変えるよう要求するコマンドを送り、そのあとガス組成を変える要求を送信することができる」とのこと。

「装置がターミナルサーバー経由でネットワークに接続されている限り、通信プロトコルに詳しい者ならだれでも、さまざまなコマンドを悪用することができる」。言い換えると、装置がネットワークに接続されていなければずっと安全だ。CyberMDXは、2018年10月にこの脆弱性をGEに知らせた。GEによると、AestivaおよびAespireの7100型と7900型が影響を受ける。いずれも、全米の病院および医療施設で使われている装置だ。

GEの広報担当者であるAmy Sarosiek(エイミー・サロセイク)氏はTechCrunchに対して、「正式なリスク調査を行った結果、想定されているシナリオによって、臨床上の問題や患者への直接的リスクが発生することはなく、麻酔装置自身には脆弱性はないと結論づけた」と語った。

GEは、調査の結果、国際的な医療安全基準によっても、指摘されている装置パラメータの改変が最大量で行われた場合のテストにおいても、患者治療上のリスクはなかったしている。「当社の調査によると、患者の安全に関する問題が起きたと考えられる事象は起きていない」。

同社は影響を受けた装置の台数を公表しなかったが、ガス組成を変更する機能は、2009年以降に販売されたシステムではすでに利用できないと言った。これはこれまでにCyberMDXが発表した2番目の脆弱性だ。去る6月には、広く使用されていた医療用輸液ポンプの脆弱性を発見した。

ハッキングされた医療情報を暗号化して身代金を要求する
ランサムウェアが一時、流行ったよね(苦笑)

医療施設は、セキュリティ対策が遅れているにも関わらず
シビアな個人情報を山ほど扱っていて
クラッカー(悪玉ハッカー)にとっては狙いやすく
金になりやすいんだと 〜¥

関連記事:「医療機器は関心の的となっている?

今度は、使用中の医療機器や生命維持管理装置を乗っ取って
身代金を要求するなんてこともできちゃうかもね!?

もしかしたら、サイバー空間を介した怨恨や保険金狙いの殺人...なんてことも起きるかも(汗)

縁起でもない妄想はさておき...(苦笑)

患者さんに、より安心安全な治療を施すため
必死に目を凝らして安全管理が行われているわけなんだけど、
見えないところから、正体不明の輩に、イジくりまわされ、
それで患者さんに危害を加えられた場合、
もちろん、ハッキングした輩が悪い(罪になる)に決まってるけど、
医療現場側だって、安全管理(セキュリティ)を怠ったから
ハッキング(侵入)を許した...と責められるだろうな(汗)

大きい病院組織になると、医療情報管理部門なんてのがあって
セキュリティ対策なんかも一手に引き受けてくれるんだろうけど、
中小規模の施設では、そんな専門部署があるわけもなく

ましてや医療情報管理部門たって、
その名の通り医療情報を扱う部署であって
それら情報機器と情報インフラの管理くらいまではやっているだろうけど
逆に奴らは医療機器の知識はないんだから、
任せっぱなしじゃ、対策は後手に廻ることになるだろうね

医療機器の専門家を名乗る以上、
臨床工学技士が、サイバーセキュリティに関わっていくことは責務であると思うけどね

サイバーセキュリティなんて、
習ってないしぃ〜、知識ないしぃ〜、自分の仕事じゃないしぃ〜
...とか言って、逃げ回っていられなくなるんじゃね?(苦笑)