IoT化が進んでいる医療現場。血管に輸液剤を点滴する治療で使われるポンプも、医療ネットワークサーバーと接続して薬剤の投与速度を自動でコントロールするスマートポンプが登場していますが、これらスマートポンプの多くに既知の脆弱性の問題があるということです。
メーカー7社の計20万台以上のデータを検証
パロアルトネットワークスの脅威インテリジェンスチームUnit42が、同社の医療向けIoTセキュリティ、IoT Security for Healthcareを使って、病院など医療機関のネットワーク上にある医療機器メーカー7社の計20万台以上の輸液ポンプをスキャンしたクラウドソーシングデータを検証したところ、75%に既知のセキュリティ上の問題があり、攻撃者による侵害をゆるしかねない憂慮すべき状況であることがわかったということです。
例えばCVE-2019-12255は2019年8月に公開された脆弱性ですが、米WindRiver社が開発・販売する組み込みリアルタイムオペレーティングシステムであるVxWorksのTCP(Transmission Control Protocol)コンポーネントに処理能力を超えた不正なデータを送り付けて誤動作を起こさせるバッファオーバーフローのリスクがあり、この脆弱性の深刻度は9.8(緊急)ということです。VxWorksリアルタイムOSは医療用ポンプのシステムとして採用されており、Unit42の調査によると調査をした輸液ポンプシステムの52.11%にこの脆弱性があるということです。
また、CVE-2016-8375は2017年2月に公開された脆弱性で、アメリカの医療機器関連のグローバル企業、ベクトン・ディッキソン アンド カンパニーの輸液ポンプ製品に暗号化されていないワイヤレスネットワーク認証資格情報や気密性の高い技術データが取得できるリスクがあるもので、深刻度は4.9(中)。Unit42が調査をした輸液ポンプシステムの50.39%でこの脆弱性があったということです。
Unit42がその他に確認した輸液ポンプの既知の脆弱性は以下の通りで、全体の75%になんらかのセキュリティ上の問題があるとの結論になったということです。
CVE-2019-12264
CVE-2016-9355
CVE-2020-25165
CVE-2020-12040
CVE-2020-12047
CVE-2020-12045
CVE-2020-12043
CVE-2020-12041
これらの脆弱性により機微情報が漏洩したり、不正アクセスやオーバーフロー攻撃などのリスクがあるということです。
「新たなレベルの医療機器セキュリティを定義すべき」
Unit42によると、医療機器メーカーやサイバーセキュリティベンダ、関係当局は輸液ポンプをはじめ医療機器におけるサイバーリスクの把握に取り組み、既知の脆弱性や機器を保護するためのアプローチについて膨大な情報がすでに得られているということです。また、デバイスの標準化、製造時のセキュリティの基準確立を目指した産業界の取り組みも進んでいるということですが、輸液ポンプの製品寿命は8~10年あることから、普及している旧型機器がセキュリティ向上の妨げになっているほか、医療従事者に対するセキュリティ教育も不十分だとUnit42は指摘しています。
そのうえでUnit42は、安全な臨床・デバイスワークフロー管理のためにはネットワークセキュリティチーム、臨床サポートチームにとって医療機器の保護管理にまつわる運用負荷を緩和するアプローチをとる必要があるとし、医療機関は新たなレベルの医療機器セキュリティを定義すべき時期にきている、との認識を示しています。
Unit42の調査によって明らかになったスマートポンプシステムにおけるセキュリティ上のリスクは、日本の医療現場においても看過できない問題だと思われますので、医療の現場では改めて使用しているIoT機器システムの脆弱性についてチェックをし、対策が十分であるか確認するとともに医療機器に対するセキュリティの体制についても検討していく必要がありそうです。
■出典
https://unit42.paloaltonetworks.jp/infusion-pump-vulnerabilities/
https://nvd.nist.gov/vuln/detail/CVE-2019-12255
https://nvd.nist.gov/vuln/detail/CVE-2016-8375