医療機器に脆弱性、糖尿病患者に不正な薬剤投与が可能に
近くにいる攻撃者が遠隔操作でシステムを操作して不正なインスリン注入を誘発させ、低血糖症を起こさせることもあり得るという。
米Johnson & Johnson傘下の医療機器メーカーAnimasが提供する医療機器に複数の脆弱性が見つかったとして、セキュリティ企業のRapid7が10月4日のブログで概略を公表した。米カーネギーメロン大学のCERT/CCもセキュリティ情報を出して注意を呼び掛けている。
脆弱性が見つかったのは、糖尿病患者へのインスリン注入に使われるインスリンポンプ「Animas OneTouch Ping」という医療機器。CERT/CCによると、危険度は共通脆弱性評価システム(CVSS)のベーススコアで9.3(最大値は10.0)と相当高い。しかしRapid7では「大規模な悪用の可能性は比較的低く、パニックの原因にはならない」と解説している。
Rapid7によると、OneTouch Pingは2台の機器が無線で通信を行ってインスリンを注入する仕組みになっているが、この通信の内容が暗号化されない脆弱性があることが分かった。近くにいる攻撃者が遠隔操作でシステムを操作して不正なインスリン注入を誘発させ、低血糖症を起こさせることもあり得るという。
Johnson & Johnsonはこの問題について、「ファームウェアの更新は予定していないが、患者や医療機関には通知している。インスリンの安全な投与を保証するための対策も多数ある」と説明し、無線通信機能を解除する方法などを紹介している。
この問題を発見したRapid7の研究者、ジェイ・ラドクリフ氏は自身も1型糖尿病の患者だといい、「5年前に初めてインスリン機器の脆弱性を発見した時は、不安に駆られて助言を求めてきたユーザーの多さにショックを受け、圧倒された」と告白。不安を感じたら慌てて機器を取り外すのではなく主治医やメーカーに相談してほしいと促し、「この研究は私たちの機器の未来の安全を確実に守るために行っている」と強調した。
関連記事
- 投薬管理システムに1000件超す脆弱性、医療機器のレガシーシステムに警鐘
病院などで使われる薬剤管理システム「Pyxis SupplyStation」の旧バージョンに、1418件の脆弱性が存在していることが分かった。 - 医療用システムにハードコードの脆弱性、患者情報の流出や改ざんの恐れ
手術を受ける患者の情報を管理するシステムに脆弱性が発覚した。患者の情報が流出したり改ざんされたりする恐れがある。 - 標的型攻撃に狙われる医療機器、病院への不正侵入が増加
病院の医療機器は既知の脆弱性が存在する古いOSが使われていることが多く、そうした機器が狙われて不正侵入される事件が続発しているという。 - 医療機器がサイバー攻撃の標的に、米当局が対策勧告
患者の情報やモニタシステム、インプラント機器を標的として、病院のコンピュータやモバイル端末がマルウェアに狙われる事例などが見つかっているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.