46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

江添 佳代子

September 15, 2017 08:00
by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール

Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキュリティニュースとして伝えられていた。

研究者が脆弱性を報告した「相手」とは

話は昨年の夏に遡る。2016年8月、St. Jude(当時)製の複数の製品に重大な脆弱性があることを発見したMedSec は、その欠陥の問題をSt. Judeへ報告しなかった。それはセキュリティ研究者の「常識的な行動」とは大きく異なっていた。製品やサービスの脆弱性を発見したセキュリティ研究者は通常、そのゼロデイが犯罪者によって悪用されることを防ぐために、まずは速やかにベンダーへ連絡して修復の勧告を行う。それからようやく自身の研究内容を明らかにするものだ(※1)。

しかし「あえてベンダーに報告しなかったMedSec」は、その研究結果を自社のブログやカンファレンスで公表したわけではない。しかるべき政府機関への報告を優先したわけでもない。彼らが真っ先に脆弱性の情報を持ち込んだ相手は、投資会社のマディウォーターズ・リサーチ(以下マディウォーターズ)だった。

マディウォーターズは市場業界ではショートセラー(株の空売りで儲ける投資家)として名高い。彼らは不正の疑惑がかけられた世界中の企業を次々と調査しては、その「実際の企業価値」を評価することに特化した空売りファンドだ。つまり「企業の問題点」を暴いては利益を得る存在である。そんな彼らにとって「企業の評判が確実に下がりそうな問題」は、不正やスキャンダルと同様に貴重な情報だった。
 
※1…とはいえ、セキュリティ研究者たちが必ずしも「問題の修復を確認してから脆弱性の情報を公開する」とは限らない。「我々は×ヵ月に渡って○○社に××回も忠告してきたが、完全に無視されているので脆弱性の情報公開に踏み切ることにした」という説明は、多くのセキュリティイベントの講演で決まり文句のように述べられてきたフレーズだ。

医療機器の脆弱性と企業の株価

2016年8月25日から26日にかけて(※2)、マディウォーターズは「St. Judeの複数の医療器具には欠陥があり、リコールされる可能性が高い」と公に発表した。また同社の創業者であるカーソン・ブロックは、高名なリサーチャーという立場から「St. Jude製品に存在する脆弱性」の問題を自ら説明した。ブロックが『Bloomberg』に語った当時の動画は現在でも閲覧することができる

この「生命維持装置に重大な欠陥が存在している」という衝撃的な発表によって、St. Judeの株価は急速に下落した。もちろん、それを事前に見越していたマディウォーターズ、および同社に情報を提供したMedSecは共に大きな利益を得ることとなった(※3)。

通常、セキュリティ研究者が医療デバイスの重大な問題を発見すれば、それは偉業として讃えられるだろう。しかし今回のMedSecの行動については、「セキュリティの研究者が企業の弱みにつけこんで利益を得ることは、倫理的に許されるのか」「まして患者の生命に関わる脆弱性を、金儲けに利用しても良いのか」という批判の声も寄せられることとなった。
 
※2…一部の報道によれば、これらの発表は「MedSecがマディウォーターズに情報を持ち込んだ翌日」に行われたという。つまり報告を受けたマディウォーターズは1日で、その株を大量に空売りしたと考えられる。
※3…ショートセラーは『売った株を安く買い戻す』ことで利益を得る。したがって株価が下がれば下がるほど利益は大きくなる。

脆弱性の研究の真偽をめぐる泥仕合

評判と株価を落とされたSt. Judeも、もちろん黙ってはいなかった。マディウォーターズによる発表が行われた直後、St. Judeは「彼らの研究報告は間違いであり、誤解を招くものだと我々は結論づけている」とコメントし、「我が社のデバイスの安全性は、独立した第三者によって確認されており、また当局(規制機構)へ定期的に提出してきた書類でも裏付けられている」と述べた。さらに彼らは、MedSecが主張する「潜在的なハッキング」の一部について、そもそも実現が不可能だと反論した。

そして翌週の9月1日には、ミシガン大学の医療機器セキュリティ研究者たちが、St. Judeを支持するような研究結果を発表する。その研究チームは「MedSecの主張の根拠となった実験」をいくつか再現してみたところ、同社の出した結論とは著しく異なる実験結果が出たと主張した。

彼らはミシガン大学のウェブサイトで次のようにコメントしている。「その(MedSecの)報告が誤りだと言っているのではない。しかし(我々が得られた)証拠は『彼らの結論』を支持するものにならなかった。我々は『セキュリティ上、問題がない』と報告する状況を生み出すことができた」

翌週の9月7日、St. Judeは「マディウォーターズとMedSecは心臓病の患者を利用し、また誤った主張で意図的にSt. Judeの名誉を傷つけ、市場を操作することで利益を得た」として、両社と関係者に説明を求める「名誉毀損の訴訟」を起こしたことを自社のウェブサイトで発表した。彼らの選んだ言葉や、素早い訴訟の対応から、St. Judeがどれほど立腹していたのかが想像できる。

しかしマディウォーターズは、その訴えに怯まなかった。同社は同年10月19日から複数回にわたり、St. Judeの医療機器(ペースメーカーなどの複数のデバイス、およびトランスミッターの機能を果たすMerlin@home)の問題をリバースエンジニアリングしながら分かりやすくシンプルに解説する新たな動画を公開した。

マディウォーターズが公開した動画の一例

それはセキュリティに関心のない人にも分かりやすい内容で、問題の深刻さを強調するような効果も多用された「出来の良い動画」だった。一般的なセキュリティ業界の研究発表では見られないタイプの、視聴者の感情を明快に煽る映像だったとも言えるだろう。

言うまでもなく、St. Judeはそれを非難する声明を発表した。10月19日の声明の中で、同社は次のように記している。「マディウォーターズとMedSecは、弊社製品のサイバーセキュリティ上の安全性の問題をふたたび提起する目的で『実証の足りない映像』を公開した。この行動は、サイバーセキュリティと患者の安全性に関わる『確実な情報の開示』を回避しつづけるものであり、また彼らが患者や医師、および医療業界を治める規制当局を全面的に無視しつづけていることを示唆するものだ。我々は、この問題を非常に深刻に受け止めると共に、(彼らによって公開された)新しい情報を迅速に評価するため、再び作業にあたる所存だ」

その後の論争、およびパッチの発表

しかし、それからもSt. Judeの逆境は続いた。同社の声明文が公開されてから数日後、マディウォーターズとMedSecは、彼らの研究結果を裏付ける追加の資料を公開する。その資料にはサイバーセキュリティ企業「Bishop Fox」の研究者によるペネトレーションテストの結果も含まれていた。その研究者は「St. Judeのペースメーカーで利用されるMerlin@homeには重大なセキュリティ上の脆弱性があり、それは『治療のケアを無効化する武器』になる可能性がある」と記した。

このようにして続いたドロドロの論争は、FDAにとっても「調査を開始するのに充分な動機付け」となったようだ。2017年1月9日、ついにFDAはSt. Jude製の埋め込み型心臓ペースメーカー、およびトランスミッターMerlin@homeの脆弱性に関する警告を発表した。これを受けたSt. Jude(数日前にAbbottが買収したばかりというタイミングだった)は、FDAの警告と同日にパッチを発行した。このとき同社が発表した声明文は、そのパッチの発行が「FDAとのパートナーシップに基づいた、安全性を最優先した速やかな対応」であることを強調していた。もちろん、その文面はマディウォーターズやMedSec、および彼らが指摘してきた脆弱性の問題について何も触れていないものだったのだが、いずれにせよパッチの発行によって、この論争にも決着がついた……かと思われた。しかし話はまだ終わらない。

FDAの警告、及びパッチの発行と同日の1月9日、マディウォーターズも新たな声明文を発表した。彼らは「我々が指摘してきた安全上の問題を長きにわたって無視してきたSt. Jude」を批判しただけでなく、「今回発表された修復は、いまだ『ハッカーによる制御が可能となるユニバーサルコード』が存在している点などを含めて、多くの深刻な問題に対応できないものであるようだ」と記した。つまり、彼らのパッチは不完全であるという指摘だった。

さらに同日、暗号学者としても名高いセキュリティ研究者のマシュー・グリーン(ジョンズホプキンス大のコンピューターサイエンスの助教授でもある)が、この問題について「私がこれまでに見てきた中で、おそらくは最も影響力の大きい脆弱性だ」というダメ押しのようなコメントを発表した

そして翌月の2月6日には米国土安全保障省のICS-CERTが、St. Judeのペースメーカーと除細動器のサイバーセキュリティに関する警告を発表した。それは、FDAが警告したときに想定されていたよりも数多くのSt. Judeの製埋め込み型医療機器が、セキュリティ上の危険に晒されていることを示す内容だった。

これらの段階を経たうえで、おそらく最も重大な懸念材料だった「St. Judeのペースメーカーの脆弱性」を修復するパッチが今年8月にようやく提供される運びとなった。このパッチはFDAの審査を通り、「患者や関係者への警告とアップデートの案内」として発表され、その話題は再び広く伝えられることになった……というのが今回のニュースのあらましである。つまり「Abbottのペースメーカーの脆弱性と、そのパッチングがFDAによって発表された」というニュースは、長きにわたる一連の報道の最新版に過ぎない。

セキュリティ研究者が優先すべきこととは?

この一連のニュースについて考えるうえで重要となるのは、「医療機器の致命的な脆弱性を発見した際、その情報をメーカーに伝えるのではなく、まず空売りファンドに売った」という型破りなMedSecの行動の是非だろう。

その行動が賛否両論を呼んだ当初、MedSecのCEOは、自らが「従来のサイバーセキュリティの慣行から逸脱した行動で批判されることは承知している」と自社のブログで語った。そのうえで彼女は、
「しかし、これがSt. Judeの行動を促す唯一の方法だったと我々は考えている」
「最も重要なこととして、我々は『患者』と『患者になり得る人々』の両方にリスクを知る権利があると信じている」
「消費者は、これらのデバイスのメーカーに対して、とりわけ彼らの製品の品質と機能に対して、透明性を求める行動をとりはじめなければならない」
とコメントした。

そのコメントは、金目当てで脆弱性を売ったことを肯定するための言い訳だ、と感じた人々もいただろう。しかし振り返ってみると、彼らの主張は正しかったかもしれない。たとえMedSecがSt. Judeに脆弱性の存在をこっそり報告していたとしても、彼らがそれを素直に受け止めてパッチを発行することはなかっただろう。多くの場合、製品のメーカーやサービスのプロバイダーは、セキュリティの専門家による脆弱性の指摘を無視し(あるいは軽視し)、何も対処しようとしない。これは数えきれないほど多くのセキュリティ研究者たちが口々に訴えてきた問題だ。

なにしろメーカーにはメーカーのプライドがある。業界の外にいるセキュリティ企業から「そちらの製品は脆弱なので、ユーザーが危険に晒されていますよ」と指摘されても、「あなたのおっしゃる通りでした」とあっさり認めて対処するのは難しい。まして医療機器であれば、何らかのアップデートを行うことで患者の人体に致命的な悪影響が及ぶ可能性もある。たとえパッチングが可能であったとしても、どうにか変更を避けて「何もなかったことにしたい」と考えるのも無理はない。

現にSt. Judeは、マディウォーターズとMedSecの主張を強く否定し、彼らを名誉毀損で告訴した一方、決して逆らうことができない相手(FDA)から警告が発表された際には当日のうちにパッチを発行した。このような業界のメーカーに修復を促すには、まず評判と株価を落とすことで「事の深刻さ」を知らせ、そのニュースを広く伝えることによって市民や政府機関の関心をひきつける以外に方法がなかったのかもしれない。結果としてMedSecの大胆な行動は、46万5000台の脆弱なペースメーカーのリコールに繋がった。この「St. Judeの悲劇」は、多くの企業にも緊張感を与えただろう。インターネットに接続されたあらゆる製品のメーカーやサービスの提供者が、「自社製品の脆弱性を第三者から指摘される前に、それを取り除かなければ大変なことになる」と考えるきっかけになるのであれば、それはユーザーにとって素晴らしいことだ。

しかし、それでもMedSecの行動が最善だったのかどうかは大いに議論されるべきではないだろうか。もしも多くのセキュリティ研究者が彼らの行動に続いた場合、脆弱性の情報が「投資家たちの金儲けのタネ」として利用されることも慣習化しかねない。それは数多くのパンドラの箱をパカパカと無造作に開く結果となり、市民の生活にも大きな混乱をもたらす恐れがある。さらに、もしも情報を買い取った投資企業が「脆弱性の情報公開は最も儲けの出るタイミングを見計らって行うべきだ」などと考えるようになれば、本来のセキュリティの目的は歪められ、結果としてユーザーの安全性は二の次として放置されてしまうといった最悪のシナリオが生まれるかもしれない。




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ダークウェブで自動車爆弾を購入した英国青年は、いかにして特定されたか

December 15, 2017 08:00

by 江添 佳代子

2017年11月7日、爆発物の購入を試みた疑いで逮捕されていた19歳の英国人男性に有罪判決が下った。この事件には2つの注目すべき点がある。ひとつは、英国がサイバー犯罪の捜査で爆破事件を未然に防いだかもしれないという点。もうひとつは、「ダークウェブの利用者が捜査で特定された最新の事例かもしれない」とい…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (3) IoTのセキュリティを誰が守るのか

December 13, 2017 08:00

by 牧野武文

年々増加するIoT機器への攻撃。吉岡准教授によると現在はまだアーリーステージで単純な攻撃が多く、高度な攻撃が始まるのはこれからだと言う。それを見越して先に予防策を講じておくことが重要で、産官学の連携を取ることにより、日本製のIoT機器の強みに転化していくという発想が重要だという。 責任の所在が不明確…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (2) 攻撃者の狙いはDDoS攻撃

December 12, 2017 08:00

by 牧野武文

前回は吉岡准教授に、IoT機器への攻撃は主に3種類あることを聞いた。では、攻撃者は一体何を目的としてIoT機器を攻撃するのだろうか。 悪意の薄い「覗き見」 しゃ 覗き見から次の悪意が生まれるIoT機器、特にIPカメラの攻撃で最も多いのは「いたずら」「好奇心」によるものだ。「Insecam」というサイ…

連載「IoTのセキュリティリスクを考える」 #01 横浜国立大学・吉岡克成准教授 (1) 感染機器は数十万台以上? IoTがサイバー攻撃者に狙われる理由

December 11, 2017 08:00

by 牧野武文

生活や業務のシーンに広く使われるようになったIoT機器。IPカメラ、IPプリンター、スマートウォッチなどはすでに当たり前のように使われるようになった。「1人1台」のPCやスマートフォンと比べると「1人複数台」のIoT機器は、爆発的に台数を増やしている。一方で、IoT機器に対するセキュリティ意識は低い…