心臓ペースメーカーのモニタ装置に脆弱性、メーカーがパッチ配信：遠隔操作でペースを乱せる可能性

悪用されれば、心臓ペースメーカーのペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。

[鈴木聖子，ITmedia]

St.Jude Medical製の心臓ペースメーカー（出典：St.Jude Medical）

　米食品医薬品局（FDA）は1月9日、米医療機器メーカーSt.Jude Medical製の心臓ペースメーカーなどに使われているモニタ装置の脆弱性に関する情報を公開した。同社はこの脆弱性を修正するソフトウェアパッチの配信を開始している。

　FDAによると、脆弱性はSt.Jude Medicalのホームモニタ装置「Merlin@homeトランスミッター」で確認された。トランスミッターは患者の自宅に設置する装置で、患者に埋め込まれた心臓ペースメーカーや除細動器などの装置と無線で通信し、データを取得して医師に送信する目的で使われている。

　脆弱性を悪用されれば、他人がトランスミッターに手を加えて患者に埋め込まれた心臓装置を遠隔操作し、バッテリーを消耗させたり、ペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。

米食品医薬品局（FDA）のリリース

　St.Jude Medicalはこの脆弱性を修正するソフトウェアパッチを9日からMerlin@homeトランスミッター向けに配信している。同装置がネットワークに接続されていれば、パッチは自動的に適用される。

　今回の脆弱性について、St.Jude Medicalでは「サイバーセキュリティリスクは極めて低い」と強調。臨床使用されている同社の医療機器が、意図的に標的にされた事例は確認されていないとしている。

　FDAでは今回のような医療機器の脆弱性について、「インターネットや病院のネットワーク、スマートフォンなどを介して相互接続される医療機器が増える中、脆弱性を悪用されるサイバーセキュリティリスクも増大している」と警鐘を鳴らしている。

　なお、今回の脆弱性を巡ってSt.Jude Medicalは、発見者のセキュリティ企業MedSecが一方的に情報を公開し、投資会社と組んで株価を不正操作することによって利益を得ようとしたと主張。MedSecや投資会社を相手に、米ミネソタ州の裁判所に訴訟を起こしている。