事例Use case

【Bitdefender海外ブログ】FDA、未知数の医療機器に影響を及ぼす脆弱性について警告

2020.2.19

ツイート シェア 送る はてブ

aerial-view-3292550_1920.jpg

医療機器で発見された脆弱性。しかし攻撃による影響の大きさは判断できず

米国食品医薬品局(FDA)は、患者、ヘルスケア専門家、ITスタッフ、メーカーに対して、医療機器の機能が変更され、攻撃に悪用される可能性のある一連の脆弱性「URGENT/11」について警告を促しました。

ハッカーによる銀行口座情報の窃盗や、ユーザー名とパスワードが保存されているデータベースへの侵害も重大な問題ですが、ハッカーがインスリンポンプでの注入を停止したり、ペースメーカーを操作できてしまうと全く別次元のリスクに発展します。

このような攻撃が及ぼす影響を把握することは、脆弱性が発見され公になった際に、影響を受ける人数を把握することと同じくらい難しく不可能に近いことです。このような理由から、FDAは各関係者に対し、こうした潜在的な問題に細心の注意を払うように忠告しています。


★SECURIEなら
IoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!
この1台ですべてを守る!Wi-Fiセキュリティルーター「SECURIE(セキュリエ) powered by Bitdefender」



FDAの顧問は次のように述べています。「FDAは各メーカーに対し、自社の医療製品に対する警戒を怠らないように、注意を促しています。サイバーセキュリティの脆弱性によるリスクの監視と評価を徹底し、その脆弱性を積極的に公表し、対処方法を共有するよう呼びかけています。」

この一連の脆弱性は、今はなき、TCP/IPプロトコルスタック「IPnet」にまで遡ります。残念ながら、IPnetを開発し、メーカー各社とライセンス契約を締結していた企業はすでに営業を停止しているので、メンテナンスやサポートがない状態で、プロトコルが放置されています。

FDAは、URGENT/11の影響を受ける6つのOSを特定しています。しかし、ソフトウェアコンポーネントが該当OSすべてに実装されているわけではありません。

VxWorks(Wind River製)
Operating System Embedded (OSE)(ENEA製)
INTEGRITY(Green Hills製)
ThreadX(Microsoft製)
ITRON(TRON Forum製)
ZebOS(IP Infusion製)

医療機器が乗っ取られると、患者に重大な危機が起きることにつながる

画像システム、注入ポンプ、麻酔器がすでに被害に遭っています。しかし、これらは単に今までに確認されたデバイスに過ぎません。被害に遭ったデバイスがさらに報告されると予想されますが、修正やパッチを適用する時間はないでしょう。

FDAができることは、メーカー、ヘルスケアプロバイダー、ITスタッフ、患者、介護者に、ガイダンスを提供することだけです。

メーカー側は、リスク評価を実施し、実際に影響を受けているデバイスを確認したら、対処に向けた計画を策定する必要がありますが、攻撃側は、日常的な通信を装っているため、脆弱性攻撃を見極めるのは極めて難しいでしょう。

厳密に言うと、メーカー側は、脆弱なデバイスを使用していないか、患者や医療施設に通知するべきです。暫定的な対策として、可能な限りVPNまたは同様のソフトウェアを使用することが挙げられます。

ハッカーが医療機器を乗っ取り、患者を死に追いやることができるという報告が初めて発表されたのは、2011年のことです。糖尿病を患うセキュリティ調査員であるジェローム・ラドクリフ(Jerome Radcliffe)氏が、セキュリティカンファレンス「Black Hat USA」で、インスリンポンプにリモートアクセスし、致死量のインスリン投与を命令できることを証明しました。

FDAは、URGENT/11が実際に悪用された兆候を確認していないと述べていますが、安心はできません。

FDAは、かなり前からヘルスケアメーカーと協力し、安全なデバイスが商品化されるように努めていますが、古い機器や装置が多大な被害を受けているのが現状です。

翻訳元記事 FDA Warns of Vulnerabilities Affecting an Unknown Numbers of Medical Devices

クリニックや調剤薬局におすすめ!SECURIEでWi-Fiにつながるスマート家電やIoT機器を保護

SECURIE (セキュリエ)powered by Bitdefenderはご家庭や小規模オフィスのWi-Fiネットワーク全体を保護する、セキュリティWi-Fiルーターです。身の回りで増え続けるIoT機器。スマートフォン・タブレット・デジタルサイネージなど、患者様へのサービス向上のために、医療機関や調剤薬局で使用される機器もますます多様化していきます。

iot_icon_200219.png

IoT機器のセキュリティ状態が一目でわかる!アプリで簡単診断!

SECURIEなら、指定したデバイスに対して、ネットワークセキュリティ上の欠陥がないか、スキャンを行うことができます。たとえばユーザー名・パスワードの組み合わせが弱いものになっている、ファームウェアのバージョンが古い、CVE脆弱性がある、などです。これらの脆弱性が見つかった場合、Centralアプリに通知が届き、対処方法などをユーザーに知らせてくれます。

脆弱性レポート.png


ネットの出入り口に設置するだけで、すべてのWi-Fi接続機器を不正な攻撃から保護します。

SECURIE_200219.PNG