恐ろしき「医療機器」セキュリティの現状

江添 佳代子

October 23, 2015 10:00
by 江添 佳代子

9月、米国ケンタッキー州ルイビルで開催されたセキュリティイベント「DerbyCon 2015」で、「Medical Devices: Pwnage and Honeypots」と題されたプレゼンテーションが行われた。それは、MRIや核医学装置などを含めた様々な医療機器に存在する脆弱性と、それらの機器に導入されているセキュリティの悲惨さを示すものだった。

ここ数年、コンピューター制御による医療機器の脆弱性は、セキュリティ業界で人気の高いトピックとなっている。過去に何人ものセキュリティ研究者が、投薬ポンプやペースメーカーといった医療機器を研究し、それらがハッキング可能であることを指摘してきた。

今回のプレゼンテーションを発表した2人の研究者、Scott Erven氏とMark Collao氏も、医療機器のセキュリティを数年に渡って研究してきた人物だ。しかし、彼らが今回のDerbyConで発表したのは、特定の医療機器に存在する脆弱性の発見だけでなく、いま現実に使われている脆弱な医療機器の運用状況と、それらに対して実際に行われる攻撃の調査に踏み込んだものだった。つまり、彼らが行ったのは「●●社の××という医療機器を利用している機関が、悪者から攻撃を受けた場合、深刻なダメージに繋がる可能性がある」という注意喚起ではなく、それらの利用状況まで調査した報告である。

彼らの50分弱のプレゼンテーションから、特に不安なポイントを挙げて解説したい。

悲惨な事実その1:脆弱性を抱えた多数の機器を、数千の組織がインターネットに接続している

彼らは、SHODAN(インターネットに接続しているデバイスをオンラインで検索できるサービス)を用いて、脆弱な医療機器を利用している組織のリサーチを行った。簡単な検索だけで数百のクリニックや病院を発見した彼らは、特に深刻な利用状況の一例として、1万2000人のスタッフと3000人の医師を抱える米国の大手医療機関(名前は公表されていない)のケースを挙げた。

その医療機関は、SMBが開いたままの状態で、6万8000のシステムをインターネットに接続していた。そのうち脆弱性が見つかっているのは、21の麻酔システム、488の循環器システム、133の(薬品などの)注入システム、97のMRIシステム、323のPACS(医療用画像管理)システム、67の核医学機器システム、31のペースメーカーシステムだった。それらの多くは、患者の人体に重大な影響を与えるデバイスだ。

悲惨な事実その2:多くの医療機器で「同じ認証情報」が使い回されている

2人の発表者はスライドの中で、「過去1年間で発見された、約100台の医療デバイスの脆弱性(すでに各メーカーには連絡済)」と、その機器で用いられているIDやパスワードを一覧表で紹介した。あまりにも数が多いため、それは何ページにも渡っている。

この一覧表で取りあげられた「脆弱なデバイス」のうち、GE社の製品に注目した2人は、同社製品で利用されているIDやパスワードをワードクラウドにして表示した。同社の複数の製品は、いくつかの全く同じ認証ワードを使い回しており、それらの多くはシンプルな文字列であった(ワードクラウドの画像は、動画の25分40秒あたりで見ることができる)。

ただし、GEの製品が特に脆弱というわけではない。発表者たちは、同社を「最も先進的なメーカーのひとつで、脆弱性の報告に素早く対応したベターな企業」と表現している。つまりGEよりも問題のあるメーカーは他にいくらでもあるということだ。

悲惨な事実その3:医療業界のセキュリティは、とんでもなく大雑把

さらに彼らは、医療機器の説明書を読むだけでも発見できる複数の問題点を指摘した。たとえば一部の医療デバイスの説明書には、「パスワードの変更はできない」と記されている。また一部は「パスワードを変更した場合はサポートを受けられなくなる」と警告している。IT機器で、ましてインターネットに接続されているデバイスで、ユーザーがパスワードを変更できないというのは、サイバーセキュリティの常識では考えられないことだ。しかし、これは「医療機器のセキュリティ設計が杜撰」という単純な問題ではない。

コンピューター制御の医療機器は、人体と直接的に繋がって動作するデバイスであり、極めて安定した稼働が求められる。そのため、システムの根幹に関わるアップデートや変更は、基本的に行わないものとして設計されるケースが多いのだ。そしていったん導入されれば、通常はセキュリティのチェックをせずに運用が続けられる。そのような機器は、インターネットと接続せずに稼働するのが適切な運用だ。しかし一部の製品は、最初からインターネット接続を前提としている。より危険なのは、機器そのもののセキュリティの甘さではなく、むしろそれが「外と繋がるようになっている」あるいは「繋がなければならない」という点だろう。

悲惨な事実その4:すでに「攻撃の試み」は現実のものである

これらの機器に対するハッキングの現状を探るべく、彼らは実際の医療機関で運用されている医療機器を正確に模した10台のハニーポッドを設置し、それを6ヵ月間運用した。そのハニーポッドは、5万5416のログインの成功例や、約300のマルウェアのサンプルを捕らえた。ここで記録された24のエクスプロイトで最も多く見られたのは、MS09-067として知られる古い脆弱性(リモートのコード実行を可能とするMicrosoft Office Excel の脆弱性、2009年発表)の悪用だった。

これらの数字は、医療機器に深刻なダメージを与えた攻撃の数ではない。「このハニーポッドを襲った攻撃者たちは、自分の標的が人体に重大な影響を及ぼす医療機器であると認識していなかったようだ」と彼らは説明している。つまり、無差別に行われた単純なサイバー攻撃であった可能性が高い。

とはいえ、インターネットに繋がった医療デバイスが、実際に攻撃を受ける状態に置かれており、マルウェアを送り付けられているという現実は、彼らのハニーポットで確証されたと言えるだろう。

法の不備にも問題

これほどまでに問題が深刻となった理由の一つとして、彼らは法の問題を指摘した。例えば米国のHIPAA法(Health Insurance Portability and Accountability Act、医療保険の携行性と責任に関する法)は、「患者の安全」ではなく「患者のプライバシー」に焦点を当てているため、医療機器の運用上のセキュリティを軽視している。FDA(米食品医薬品局)も、医療機器におけるサイバーセキュリティの項目をチェックしていない。つまり、医療機器が悪意ある攻撃を受ける可能性を前提としていない、と彼らは主張しているようなものだ

コンピューター制御の医療機器は、極めて慎重に扱うべき機器であるにも関わらず、はじめから「セキュリティ対策」を念頭に置かぬまま進歩してきたと言える。のちに「インターネットに接続できる機器」となった現在も、危険な手法で運用され、実際にマルウェアを送られながら、膨大な数の患者の生命を預かっている。彼らの研究は、その恐ろしい現実を再確認させるものだ。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…