病院の麻酔器と人工呼吸器に遠隔操作可能な脆弱性

多くの病院で利用されている麻酔器と人工呼吸器で使われているネットワーキングプロトコルに脆弱性があることをセキュリティー研究者らが見つけた。悪用されると医療機器の誤動作につながる可能性もある。

医療セキュリティー会社のCyberMDXの研究者らによると、医療機器のGE AestivaおよびGE Aespireは、病院のターミナルサーバーに接続されていると、コマンド送信に利用される可能性がある。それらのコマンドは、アラームの停止や記録の改変などができるほか、悪用されると人工呼吸器や麻酔器で使用する麻酔ガスの組成を変えることもできる、と研究者らは言っている。

国土安全保障省は火曜日(米国時間7/9)に勧告を発表し、この脆弱性の悪用に必要な「スキルは低い」と語った。

「問題の機器は独自プロトコルを使用している」とCyberMDXの研究責任者、Elad Luz氏は言った。「コマンドを推測するのはごく簡単だった」

解読されたコマンドの一つは、装置が旧バージョンのプロトコルを使用するよう強制できる(旧プロトコルは互換のために今も装置内にある)とLuz氏は言う。さらに悪いことに、どのコマンドにも認証は必要ない。

「どのバージョンでも、まず一番古いプロトコルに変えるよう要求するコマンドを送り、そのあとガス組成を変える要求を送信することができる」とLuz氏は言った。

「装置がターミナルサーバー経由でネットワークに接続されている限り、通信プロトコルに詳しい者ならだれでも、さまざまなコマンドを悪用することができる」

言い換えると、装置がネットワークに接続されていなければずっと安全だ。

CyberMDXは、2018年10月にこの脆弱性をGEに知らせた。GEによると、AestivaおよびAespireの7100型と7900型が影響を受ける。いずれも、全米の病院および医療施設で使われている装置だ。

GEの広報担当者、Amy Sarosiek氏はTechCrunchに対して、「正式なリスク調査を行った結果、想定されているシナリオによって、臨床上の問題や患者への直接的リスクが発生することはなく、麻酔装置自身には脆弱性はないと結論づけた」と語った。

GEは、調査の結果、国際的な医療安全基準によっても、指摘されている装置パラメータの改変が最大量で行われた場合のテストにおいても、患者治療上のリスクはなかったしている。「当社の調査によると、患者の安全に関する問題が起きたと考えられる事象は起きていない」。

同社は影響を受けた装置の台数を公表しなかったが、ガス組成を変更する機能は、2009年以降に販売されたシステムではすでに利用できないと言った。

これはこれまでにCyberMDXが発表した2番目の脆弱性だ。去る6月には、広く使用されていた医療用輸液ポンプの脆弱性を発見した。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。