医療現場が危ない:病院のハッキング

2016年2月23日

誰しも、時には病気やけがをして病院に行き、医者に診てもらわねばならないことがあります。医学部で勉強し、臨床経験を積んでいる医師のことは信頼できるにしても、診断や治療に使われるハイテク医療機器のことも否応なしに信頼せざるを得ないのが患者の立場です。結果として、医療機器を製造したハードウェアやソフトウェアの開発会社、そして機器の調整を行うシステム管理者に、自分の身の安全と健康を委ねることになります。

my-hacked-hospital-featured

医療機器は、年を追うごとに複雑に相互接続されるようになり、病院はこうした機器であふれんばかりになっています。さまざまな種類のセンサーやスマート機器には、複雑なソフトウェアが不可欠です。そんな中、医療機器メーカーにとってサイバーセキュリティは最優先事項でないことが一般的なため、医療機器にセキュリティホールは付き物です。バグや脆弱性があれば、当然、セキュリティの侵害が起きます。では、病院に対するハッキングはどれだけ危険なのでしょうか?

病院ハッキングの何が問題なのか?

一言で答えると、何もかもです。

何よりもまず、サイバー犯罪者がソフトウェアの脆弱性を悪用して患者のデータを盗んだり、ネットワークをマルウェアに感染させたりする恐れがあります(これでもまだ、マシな方です)。

また、患者の電子カルテのデータを改竄することも可能です。健康な人を病人に、またはその逆に変えてしまったり、検査結果や投与する薬の強さを改竄したりして、患者に深刻な健康被害をもたらす恐れがあります。さらに、医療機器をでたらめに調整して高額な機器を故障させたり、そうした機器を使って治療を受ける患者に(またしても)害を与えたりすることが考えられます。

ものは試しにやってみる

Security Analyst Summit 2016で、Kaspersky Labのエキスパート、セルゲイ・ロズキン(Sergey Lozhkin)が、病院を実際にハッキングした経験を語りました。

SONY DSC

ある日Shodan(IoT機器用の検索エンジン。ネット接続している機器やそのステータスを探し出せる)を使っていたとき、ロズキンは、ある病院の医療機器を見つけました。聞き覚えのある病院名だと思ったところ、偶然にもロズキンの友人が経営する病院でした。ロズキンは友人に事情を話し、2人は、病院がハッキングされる可能性がないかどうか、内密に侵入テストを実施して調べることにしました。

テストのことを知らされたのは病院の経営陣だけで、経営陣はあらかじめ実際の患者とデータが「ハッカー」の被害を受けることがないように措置を講じました。

離れたところから病院をハッキングする、という最初の試みは失敗に終わりました。これに関しては、システム管理者の仕事ぶりが適切だったのです。

しかし病院内に入ると、院内Wi-Fiが適切に設定されておらず、部外者でも接続できることがわかりました。ロズキンはネットワークキーのハッキングに成功し、データの保存や解析に使われる各種機器をはじめ、院内のさまざまなものにアクセスすることに成功しました。特にロズキンが注目したのは高額な断層撮影法スキャン装置で、これも院内ネットワークの中からアクセスできました。この装置には何人もの架空の患者のデータ(実際のデータは前もって退避しておいたため)が大量に保存されていました。

ロズキンは、アプリケーションの脆弱性を利用してファイルシステムにアクセスし、スキャン装置内で利用可能な状態のデータすべてにアクセスすることができました。本当に悪意のあるハッカーだったら、この時点で、ほぼ何でもできたことでしょう。データを改竄する、盗む、破壊する、さらにはCTスキャン装置を故障させる、…。

ロズキンは、暫定措置として、優秀なシステム管理者を雇うことを病院に勧めました。まともな管理者なら、CTスキャン装置などの重要な機器を公開ネットワークに接続することはなかったでしょう。といっても、これが根本的な解決方法というわけではありません。本来責任を負うべきなのは、第1に装置の開発会社だからです。開発会社は、製品のサイバーセキュリティにもっと注意を払うべきでした。

責任の所在と、今後取るべき対策は?

ロズキンの報告は、医療機器のサイバーセキュリティに関する課題がいかに多いかを示しています。この問いを自らへの警告と受け止めるべきは、医療機器の開発会社と、病院の理事会です。

開発会社は機器のセキュリティをテストし、脆弱性の有無を調べ、脆弱性があればすぐにパッチを適用すべきです。病院の理事会は、病院のネットワークセキュリティにもっと注意を払い、重要なインフラ機器が公開ネットワークに接続されることのないよう管理を徹底しなければなりません。

さらに、開発会社も理事会も、サイバーセキュリティ監査を受ける必要があります。病院の場合、侵入テストが監査の代わりになります。開発会社の場合、製品が市場に出る前に包括的なセキュリティテストを実施するべきでしょう。