医療機器へのサイバー攻撃は実現間近? 米大手病院がマルウェア感知システム「WattsUpDoc」を試験導入

江添 佳代子

May 11, 2015 09:00
by 江添 佳代子

サイバー攻撃の被害を受けるのは、PCや携帯電話だけではない。これまでに取り上げてきた、車やATM、POSなどの事例からもわかるように、現在ではいろいろな分野のさまざまなシステムがサイバー攻撃の標的となっている。

「産業用の制御システムが攻撃された場合、大混乱が引き起こされるのでは」という懸念も、もはや非現実的な話ではなくなった。例えばイランの核開発を妨害する目的で、米国とイスラエルが開発したと言われるマルウェア「Stuxnet」は、実際ナタンツの原子力施設の高速遠心機に障害を引き起こしている。

さて、ここ数年のセキュリティ業界で注目を集めてきた話題の1つに、「コンピューター制御の医療機器の脆弱性」がある。2015年4月9日の『WIRED』誌にも、この問題に関する興味深い記事が掲載されたので、まずはその内容をお伝えしたい。

その記事「Drug Pump’s Security Flaw Lets Hackers Raise Dose Limits」には、著名なセキュリティ研究者のビリー・リオス氏が、髄液鼻漏で緊急手術を受けた際のエピソードが紹介されている。

Drug Pump’s Security Flaw Lets Hackers Raise Dose Limits(WIRED)
@xssniperリオス氏のツイッターアカウント

2014年夏、スタンフォード大学医療センターに入院したリオス氏は、自分の身体に接続されたコンピューター制御の薬物投与ポンプが脆弱なモデルであることに気付いた。彼は入院の数ヵ月前、医療機器のセキュリティを調査するため、eBayから薬物投与ポンプを購入し、その欠陥を研究していたのだ。彼自身が「攻撃を受けやすい製品」と判断したポンプと、まさしく同一モデルのポンプが自分の身体に薬を送り込んでいる様子を見ながら、彼は自分の発見した欠陥のことばかりを考えていたという。

リオス氏を恐怖に陥れたこのポンプは、Hospira社の「LifeCare PCA」。世界中の病院で利用されている人気商品だ。しかしリオス氏は、その静脈注射の投薬量を設定するライブラリの認証設定に欠陥があることを暴いていた。その欠陥により、病院のネットワークに接続できる人物なら誰でも(たとえば病院の関係者でも、あるいはインターネットを経由したハッカーでも)、「投薬量の制限を書き換えたライブラリ」をポンプに読み込ませ、致死量の投薬を行える可能性があると彼は主張している。

LifeCare PCA? Infusion System(Hospira)

ここで「なぜ投薬ポンプをネットワークに接続するのだ?」あるいは「なぜインターネットを経由したハッカーが潜り込めるのだ?」という疑問が浮かんだ方もいるだろう。まず、このポンプはWindowsベースのソフトウェア「MedNet」を利用しており、それは病院のネットワークと通信し、投薬のライブラリを更新してヒューマンエラーを防止している。具体的な例を挙げるなら、看護師が不適切な量を投薬しようとした場合、そのシステムは警告を発する。

このMedNetは、さらに病院内でのポンプの監視にも、ファームウェアやパッチの更新にも利用されている。個々のポンプには4つの通信ポートがあり、またWi-Fi接続も可能となっている。リオス氏は、そのMedNetに複数の脆弱性を発見していた。ここでは技術的な説明を省略するが、そのうちの1つは「パスワードが平文で格納されている」という基本的なセキュリティ構築の欠陥だった。

現在、LifeCare PCAのようにネットワークへの接続を行う医療機器は決して珍しいものではなく、また、それらの脆弱性に関してもさまざまな警告が発せられている。例えば先述のリオス氏は2013年1月にも、Philipsの医療機器システム「Xper Information Management」の脆弱性を発見し、それを発表していた。当時Cylance社に在籍していた彼は、同社のテリー・マッコークル氏と共に、このXperシステムのリモート認証の欠点を利用して管理者権限を握ることに成功している。

Security Researchers Expose Bug In Medical System Used With X-Ray Machines, Other Devices(DARKReading)

もう1の例を挙げよう。イベント会場のステージでATMのハッキングを実演した伝説のセキュリティ研究家、バーナビー・ジャック氏も、さまざまな医療機器のセキュリティの研究に注力していた。講演者としても人気が高かった彼は、2013年の「Black Hat」(年一度ラスベガスで開催される世界最大規模のセキュリティイベント)でも、インスリンポンプやペースメーカーの脆弱性に関する講演を行う予定だった。とりわけ「ペースメーカーのワイヤレス攻撃」という衝撃的な題材は、多くの注目を集めていたのだが、そのイベントのわずか数日前、彼は36歳の若さで急死している。医療業界のセキュリティの進歩は、彼の死によって何歩か遅れたかもしれない。

Barnaby Jack Could Hack Your Pacemaker and Make Your Heart Explode(VICE)

ジャック氏、医療機器ハッキングについて語る。(おそらく最後の)インタビュー。

医療機器の脆弱性を狙った攻撃の発表は、他にもまだまだあるが、それらの欠陥を列挙して不安を煽るのは建設的ではないだろう。だからといって「いたずらに人の命を奪うようなハッカーは滅多にいない」と構えるのも牧歌的すぎる。大切なのは、我々の不安を取り除く技術的な安全性の確保だ。医療業界や政府機関は、そのセキュリティの具体的な措置を執っているのだろうか?

DHS(米国国土安全保障省)には、ICS-CERT(Industrial Control Systems Cyber Emergency Response Team)と呼ばれる産業制御システムのサイバー緊急対応チームがある。そのICS-CERTは2013年6月、「産業用制御システムに対するベストプラクティスの多くが、医療機器にもあてはまる」と指摘したうえで、「攻撃の可能性を緩和することが重要。インターネットやLANから医療機器を分離させるためにできる手段があれば、何でも採用するように」と医療施設に勧告した。また機器の不正操作や、その他の悪意ある活動を発見した医療組織に対しては、それをICS-CERTとFDA(米国食品医薬品局)の両方に報告することを義務づけた。

DHS warns of vulns in hospital medical equipment

問題は、この勧告を各医療施設がどこまで深刻に受け止めているのかが分からないことだ。しかし、つい先日サンフランシスコで開催されたRSAカンファレンス2015では、我々の不安を少し和らげるような発表があった。それは、病院用のマルウェア感知システム「WattsUpDoc」を、米国の2つの大手病院(名前は明かされていない)が数ヵ月に渡ってテスト運用することを決定したという話題だった。

WattsupDoc_ US hospitals trial AC power probes to treat malware(Security Affairs)

この「WattsUpDoc」は、電力の消費量の監視によって医療機器のマルウェア感染を検出するシステムで、もともとは2人の研究者が2013年に発表したものだった。ほんの些細なミスで人命が失われる機器では、コードの書き換えやパッチによる修復が非常に困難だが、消費電力から感染を探る方法であれば安全性が高い、というアプローチである。

WattsUpDoc: Power Side Channels to Nonintrusively Discover Untargeted Malware on Embedded Medical Devices(2013年の論文 PDF)

このシステムが実際の医療の現場で利用されたとき、果たしてどのような成果を上げるのかは大いに期待されるところだ。とはいえ、WattsUpDocを導入した2つの病院からマルウェアの感染が山ほど報告されるようなことがあれば、それはそれで耳を覆いたくなる話にもなるのだが。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…