46万5000台のペースメーカーに存在した脆弱性(前編)死に直結する医療機器のセキュリティホール

江添 佳代子

September 14, 2017 08:00
by 江添 佳代子

米FDA(Food and Drug Administration、食品医薬品局)は8月29日、Abbott Laboratories社の植込み型心臓ペースメーカー46万5000台に存在する脆弱性について警告を発した(FDAによる注意喚起と告知)。この脆弱性を悪用すれば、攻撃者はペースメーカーのユーザーの心拍に影響を与えられる可能性がある。

FDAによる注意喚起と告知

FDAは警告と同時に、その脆弱性を修復するファームウェアのアップデートに関する案内も行っている。つまりFDAの発表は事実上、「患者の体内に埋め込まれている医療機器」の問題点を伝え、また患者や介護者に対して自発的にリコールを行うよう警告するものだった。

これまで話題となってきた「ペースメーカーの脆弱性」

今回のFDAの告知は「体内で心臓の拍動を調節するペースメーカーの脆弱性に関する発表」だったため、まるで前代未聞の問題であるかのように思われる向きもあるだろう。しかし医療デバイスの脆弱性を発見し、その危険性を説いてきたセキュリティ研究者たちは過去に何人もいた。彼らの一部はデバイスのハッキングを実演し、一部は現実社会で攻撃が行われた場合の規模の大きさについてシミュレーションし、一部は医療機器のサイバーセキュリティをめぐる法的な問題点について警告してきた。
 
参照:The ZERO/ONEの関連過去記事
恐ろしき「医療機器」セキュリティの現状
医療機器へのサイバー攻撃は実現間近? 米大手病院がマルウェア感知システム「WattsUpDoc」を試験導入
サイバー犯罪者が狙う「患者データ」(前編) 闇市場で紐付けられていく個人情報

この分野の研究で特に知られているセキュリティ研究者は、マリー・モウだろう。彼女は「自分自身に埋め込まれたペースメーカー」にどのような脆弱性があるのか、また、それらのデバイスがどれほど自分の医療情報を外部に漏洩しかねないのかを何年も研究してきた人物だ。ちなみに彼女は「自分が装着しているペースメーカーのソフトウェア」の設定に誤りがあったことも発見している。

珍しい話題としては、著名なセキュリティ研究者ビリー・リオスの例が挙げられる。彼は2014年、Hospira社の薬物投与ポンプ「LifeCare PCA」の脆弱性を報告した。その報告の数ヵ月後、体調を崩して緊急手術を受けることになったリオスは、自分の身体に「まさしく自分が脆弱性を報告したポンプと同じモデル」が繋がれてしまったという恐怖の体験を 2015年に『WIRED』誌で語っている

また伝説のセキュリティ研究家バーナビー・ジャック(※)も、様々な医療機器のセキュリティを研究した人物の一人だった。彼は2013年のBlack Hatで、インスリンポンプやペースメーカーの脆弱性に関する講演を行う予定だった。特に「ペースメーカーのワイヤレス攻撃」の研究発表は大きな注目を集めていたのだが、彼は講演日のわずか数日前に36歳の若さで急死した(ジャックが医療機器のセキュリティについて語った、おそらく生前最後のインタビューはこちら)。
 
※…いまでも英雄として語り継がれているジャックの人気を不動のものにしたのは、Black Hatのステージで実演された「ATMのジャックポット(ATMの実機から現金を吐き出させたハッキング実験)」だった(動画)。その後も数人のセキュリティ研究者たちが、このジャックポットと同様のハッキングを実演している。

Abbott のペースメーカーの脆弱性とは

FDAの警告の対象となった植込み型心臓ペースメーカーのモデルはAbbott Laboratories社(以下Abbott)のAccent、Anthem、Accent MRI、Accent ST、Assurity、Allureだった。これらはもともとSt. Jude社(以下St. Jude)の製品だったのだが、同社は今年1月にAbbottに買収されたため、今回の警告も「Abbott のペースメーカーの脆弱性」として発表されている。

FDAは、これらのデバイスに存在する脆弱性を悪用した第三者がペースメーカーのバッテリーを早く消耗させたり、あるいはペースメーカーの動作に調整を加えたりすることができる可能性があることを警告した。文字通りの意味で「致命的」となる脆弱性なので、上記のペースペーカーの利用者には一刻も早いパッチングが望まれるところだ。

しかしFDAの声明によれば、そのファームウェアのアップデートを行うには「患者がヘルスケアプロバイダーへ直接的に訪問する必要」があり、「自宅から(オンラインでアップデートを)行うことはできない」という。またFDAは、そのパッチングで引き起こされる誤作動の可能性についても、非常にわずかな確率ではあるものの、
「不完全なアップデートによる以前のファームウェアバージョンのリロード(0.161%)」「現在プログラムされているデバイスの設定の損失(0.023%)」
「診断データの損失(パーセンテージは報告されていない)」
「デバイス機能の完全な損失(0.003%)」
という4つのケースを示した。

それほど手間ではない「パッチング」

なにやら不安を煽るような指摘が多いが、安心できる部分もある。まずFDAは「この脆弱性を利用した何者かがユーザーに危害を加えたという報告は、これまでに一度も受けていない」と明言している。またファームウェアの更新も、実作業にかかる時間はわずか3分程度であるという。

また、ファームウェアの更新作業中のデバイスは、バックアップモードの動作(毎分67回の鼓動)を続けることができる。つまりペースメーカーを片時も停止できない患者でも支障はない。更新が完了したデバイスは更新前の設定に戻る、と記されている。「いま心臓を支えているデバイス」は、なるべくそっとしておきたい、パッチを当てるのが怖いと感じるかもしれないが、FDAの発表を読むかぎり、実際の作業は意外と簡単であるようだ(医療機関へ出向くことさえ億劫でなければ)。

FDAは「通信ネットワーク(たとえばWi-Fi、公共/家庭用のインターネット)に接続されるあらゆる医療デバイスは、許可なきユーザーによって悪用される『サイバーセキュリティ上の脆弱性』が存在している可能性がある」という注意喚起も行っている。これは重要な指摘だろう。

今回、警告の対象となったペースメーカーに限らず、ネットワーク通信を行う医療機器は、利便性が高い反面、常に悪用の危険が付きまとう。ここで挙げられた脆弱性の問題が氷山の一角であるということは、医療機器メーカーのみならず医療関係者も肝に銘じるべきで、また「それらの製品のユーザーになる可能性がある(あるいはすでにユーザーとなっている)私たち」も知っておくべきことだ。

「Abbottのペースメーカー」の背景

ここで記事が終われば、このニュースは単純だ。しかし「Abbottのペースメーカーの脆弱性」をめぐる話題は、実は2016年の夏から始まっている。その一連のニュースの背景では、金やプライドの絡みあったドロドロの論争が一年にわたって展開していた。

Abbott(旧St. Jude Medical)のペースメーカーの問題を発見したセキュリティ研究者や、その脆弱性で利益を得た人々の主張、およびAbbottが起こした訴訟の騒ぎは、「サイバーセキュリティと企業の関係」の今後を考えるうえで、様々な問題を提起するものとなっている。次回は、その部分を掘り下げてお伝えしたい。
 
後編に続く




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…