米FDA、心臓ペースメーカーのリコール発表 脆弱性を突かれ患者に危害が及ぶ恐れ
脆弱(ぜいじゃく)性を悪用されれば、患者のペースメーカーに他人が不正アクセスしてプログラミングコマンドを改ざんできてしまう恐れがある。
米食品医薬品局(FDA)は8月29日、米医療機器メーカーAbbott(旧St. Jude Medical)の植込み型心臓ペースメーカーについて、患者に危害を加えられる恐れもある脆弱(ぜいじゃく)性が見つかったとして、リコールを発表した。患者や医師に対し、次回診察の際にファームウェアの更新について相談するよう呼び掛けている。
影響を受けるのはAbbottのRF(無線)対応植込み型心臓ペースメーカーおよび心臓再同期治療ペースメーカー(CRT-P)で、米国内で46万5000台が対象になる。一方、植込み型除細動器(ICD)や両室ペーシング機能付き植込み型除細動器(CRT-D)は影響を受けないとしている。
脆弱性を悪用された場合、他人が市販の機器を使って患者のペースメーカーに不正アクセスし、プログラミングコマンドを改ざんできてしまう恐れがある。バッテリーを急激に消耗させたり、不適切なペース配分を設定されたりすれば、患者に危害が及びかねない。
Abbottはファームウェアのアップデートでこの脆弱性を修正し、FDAの承認を受けて8月29日から米国で提供を開始した。アップデートは自宅では適用できず、患者が医療機関を受診する必要がある。
ただ、アップデートの適用は、確率は非常に低いもののリスクを伴うことから、FDAは患者に対し、かかりつけの医師を受診して、アップデートを適用すべきかどうか相談するよう助言している。
St.Jude Medicalの心臓ペースメーカーは過去にも脆弱性が発覚したことがある。この時は自動的に適用されるパッチの配信で対処していた。FDAはペースメーカーなどの医療機器について、「インターネットや病院のネットワーク、他の医療機器、スマートフォンなどを経由して相互接続される医療機器が増える中、サイバーセキュリティ脆弱性を悪用されるリスクも増大する」と警鐘を鳴らしている。
関連記事
- 心臓ペースメーカーのモニタ装置に脆弱性、メーカーがパッチ配信
悪用されれば、心臓ペースメーカーのペースを乱したり、ショックを与えたりすることができてしまう恐れがあるという。 - ランサムウェア「WannaCry」、医療機器メーカーも独自パッチを準備
「WannaCry」の影響は大手医療機器メーカーや産業機器メーカーの製品にも及んでいる。独Siemensはアップデートの公開準備を進めていることを明らかにした。 - 医療機器に脆弱性、糖尿病患者に不正な薬剤投与が可能に
近くにいる攻撃者が遠隔操作でシステムを操作して不正なインスリン注入を誘発させ、低血糖症を起こさせることもあり得るという。 - 標的型攻撃に狙われる医療機器、病院への不正侵入が増加
病院の医療機器は既知の脆弱性が存在する古いOSが使われていることが多く、そうした機器が狙われて不正侵入される事件が続発しているという。 - 投薬管理システムに1000件超す脆弱性、医療機器のレガシーシステムに警鐘
病院などで使われる薬剤管理システム「Pyxis SupplyStation」の旧バージョンに、1418件の脆弱性が存在していることが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.