ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

医療機器に脆弱性、糖尿病患者に不正な薬剤投与が可能に

» 2016年10月06日 07時47分 公開
[鈴木聖子ITmedia]

 米Johnson & Johnson傘下の医療機器メーカーAnimasが提供する医療機器に複数の脆弱性が見つかったとして、セキュリティ企業のRapid7が10月4日のブログで概略を公表した。米カーネギーメロン大学のCERT/CCもセキュリティ情報を出して注意を呼び掛けている。

CERT/CCが出した医療機器の脆弱性注意喚起

 脆弱性が見つかったのは、糖尿病患者へのインスリン注入に使われるインスリンポンプ「Animas OneTouch Ping」という医療機器。CERT/CCによると、危険度は共通脆弱性評価システム(CVSS)のベーススコアで9.3(最大値は10.0)と相当高い。しかしRapid7では「大規模な悪用の可能性は比較的低く、パニックの原因にはならない」と解説している。

 Rapid7によると、OneTouch Pingは2台の機器が無線で通信を行ってインスリンを注入する仕組みになっているが、この通信の内容が暗号化されない脆弱性があることが分かった。近くにいる攻撃者が遠隔操作でシステムを操作して不正なインスリン注入を誘発させ、低血糖症を起こさせることもあり得るという。

Rapid7が公表した脆弱性を使って機器を遠隔操作するデモ映像

 Johnson & Johnsonはこの問題について、「ファームウェアの更新は予定していないが、患者や医療機関には通知している。インスリンの安全な投与を保証するための対策も多数ある」と説明し、無線通信機能を解除する方法などを紹介している。

 この問題を発見したRapid7の研究者、ジェイ・ラドクリフ氏は自身も1型糖尿病の患者だといい、「5年前に初めてインスリン機器の脆弱性を発見した時は、不安に駆られて助言を求めてきたユーザーの多さにショックを受け、圧倒された」と告白。不安を感じたら慌てて機器を取り外すのではなく主治医やメーカーに相談してほしいと促し、「この研究は私たちの機器の未来の安全を確実に守るために行っている」と強調した。

Copyright © ITmedia, Inc. All Rights Reserved.