薬剤注入ポンプの重大なセキュリティ脆弱性

2015年5月22日

先ごろ、スマート医療機器が危険にさらされている事例が新たに発覚しました。Hospiraの薬剤注入ポンプに、リモートから悪用可能な脆弱性が存在するというのです。これが悪用されれば、ポンプが完全に乗っ取られる、あるいは役に立たなくなるといった事態になりかねません。

med

薬剤注入ポンプは、スマート医療機器やネット接続型医療機器のなかでも画期的なものです。これまでも当ブログで取り上げたように(特にハイテクのインスリンポンプに関する記事)、スマート医療機器は本来、長期薬剤投与を必要とする人のために人的ミスをなくすものです。しかし残念ながら、安全性を完全に度外視しているハイテク医療機器メーカーが後を絶ちません。

攻撃を受けやすいだけではない。質の悪いプログラミングのせいで、1回タイポ(入力ミス)しただけで役立たずの文鎮になってしまう

セキュリティリサーチャーのジェレミー・リチャーズ(Jeremy Richards)氏は、実際にHospiraのLifecare PCA薬剤注入ポンプは非常に脆弱で、同氏がこれまで見てきたIP対応デバイスの中で最も安全性が低い、と述べています。また、リモートから攻撃されると、狙われた機器はいわゆる「文鎮化」した状態、つまりまったく使い物にならなくなるとも指摘しています。

「攻撃を受けやすいだけではありません。質の悪いプログラミングのせいで、1回タイポ(入力ミス)しただけで役立たずの文鎮になってしまいます」(リチャーズ氏)

同氏によれば、攻撃者はデバイスのソフトウェアのアップデートやコマンドの実行のほか、薬瓶に印刷されたバーコード(投薬量などの重要な情報を含む)と連動する薬剤ライブラリを操作することもできます。

興味深いことに、この薬剤注入機器のバグを発見したのは1人ではありません。2人のリサーチャーが別々に見つけました。1人目のビリー・リオス(Billy Rios)氏は、空港のセキュリティ洗車機ホームオートメーションシステムのハッキングで知られる人物です。

リオス氏の調査結果は1年以上も前にICS-CERTに報告済みだったにもかかわらず、公開されなかったのですが、先日リチャーズ氏の調査結果は公開に至りました。リオス氏はTwitterでリチャーズ氏の調査結果が公開されたことを祝福しています。

さらに困ったことに、Hospiraの機器はネットワークのWPA(Wi-Fi Protected Access)キーを平文で保存しています。Hospiraの機器のWPAキーが1つでも盗まれれば、同じネットワーク上の機器は盗聴だけでなく、他にもたくさんの攻撃の危険にさらされる恐れがあります。病院で機器を廃棄したり売却したりする前にネットワークキーを消去し忘れると、稼働していない機器からでもキーは盗まれます。この他にも、Hospiraの機器には公開されたイーサネットポートがあるため、自動ハッキングツールを使用すれば、あっという間に難なくローカルから攻撃されてしまいます。

Hospraがこの脆弱性を修正する気があるのかどうかは、はっきりしません。リチャーズ氏は、Hospraは修正を計画しているが、同社の声明とその主張に食い違いがあるようだと述べています。

Hospiraは、Threatpostのクリス・ブルック(Chris Brook)に返信したメールの中で「医療現場でHospiraの機器が侵害された例は一度もありません。Hospiraは、サイバーセキュリティの脆弱性に対処するべく、予防的なアプローチを取っています」と述べています。

同社は、この機器を使用している既存の顧客に脆弱性の対処方法を伝えたと主張していますが、既存の機器に存在する脆弱性に対処するとは一言も言っていません。将来の製品でこうした懸念を緩和していく方針だとしています。

「また、脆弱性を悪用するには、堅牢なファイアウォールなど、何層にも及ぶ病院情報システムのネットワークセキュリティに侵入する必要があります。これらのネットワークセキュリティ対策は、改ざんに対する防御の第一線であり、最強の防衛線でもあります。また、ポンプとソフトウェアによって、セキュリティの層がさらに追加されます」(Hospiraの声明)

最後に、こちらのツイートをご覧いただきましょう。