General Electric(GE、ゼネラル・エレクトリック)が製造した医用画像機器の多くはハードコードされたデフォルトのパスワードでセキュリティが保護されていてパスワードを簡単には変更できないが、そのパスワードを悪用して重要な個人情報である患者の画像にアクセスされる恐れがあることを、セキュリティ関連企業のCyberMDXが発見した。
研究チームによれば、スタッフにマルウェア付きのメールを開かせるなどの手段によって攻撃者が同一のネットワークに入ってしまえば、それだけで脆弱性のある機器を悪用できる恐れがあるという。そこから攻撃者はハードコードされたデフォルトのパスワードを使って、機器に保管されている患者データをすべて取得したり機器が正常に動作しない状態にしたりすることができる。
CyberMDXは、X線装置、CTやMRIの装置、エコーとマンモグラフィ機器などに影響が及ぶ恐れがあるとしている(CyberMDXリリース)。
GEはハードコードのパスワードを使ってリモートで機器のメンテナンスをしている。しかしCyberMDXの研究責任者であるElad Luz(エラッド・ルス)氏は、機器に脆弱性があることを知らない利用者がいたという。ルス氏は、パスワードを変更することはできるがそのためにはGEのエンジニアに現場に来てもらう必要があるため、パスワードが「ハードコードされている」と表現した。
この脆弱性は米国国土安全保障省のCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)でも勧告されている。影響を受ける機器の利用者はGEに連絡してパスワードを変更してもらう必要がある。
GE Healthcare広報のHannah Huntly(ハナ・ハントリー)氏は発表の中で次のように述べている。「この潜在的な脆弱性が医療現場で悪用された事例は報告されていません。我々は完全なリスク評価を実施し、患者様の安全に関する懸念はないとの結論に達しました。我々は機器の安全性、品質、セキュリティの維持に最優先で取り組んでいます」。
今回の発見は、ヘルスケア関連のサイバーセキュリティスタートアップでニューヨークに拠点を置くCyberMDXの最新の成果だ。同社は2019年にもGE製装置の脆弱性を報告していた。この問題でGEは最初に装置の使用を中止した後に患者の負傷につながる可能性があったと認めた。
CyberMDXは自社のサイバーインテリジェンスプラットフォームを利用して主に医用機器のセキュリティ保護と医療機関のネットワークセキュリティの強化を手がける一方、セキュリティ関連調査も実施している。同社は新型コロナウイルス(COVID-19)感染拡大から約1カ月後の2020年4月に2000万ドル(約20億9000万円)を調達した(未訳記事)。
カテゴリー:セキュリティ
タグ:医療、General Electric
画像クレジット:Siegfried Modola / Getty Images
[原文へ]
(翻訳:Kaori Koyama)
