皆さんは、健康の維持・管理に役立つ医療機器には、ある程度のセキュリティが保証されていると思われるでしょうか。よく考えれば、現実的に 1 つの鞘に 2 つの豆が収まらないのは明らかです。サイバーセキュリティのスペシャリストや研究者が、医療機器ベンダー、さらには医療機器に関する規制を監督する FDA に対して何度も抗議し、さまざまな不備を公開しているにもかかわらず、これらの機器の開発者の頭にセキュリティという考えはないようです。

Billy Rios 氏と数名のセキュリティ研究者が Mayo Clinic と共同で発表した、さらに驚くべき記事によると、セキュリティは医療機器にとって邪魔であると見なされていることがわかりました。これらの懸念が重なり、詳しい報告書や研究調査がベンダーと FDA に提出されましたが、医療機器のセキュリティ向上の取り組みがあまり進んでいないのが現状です。医療機器のベンダーは、ファイアウォールや対応するネットワークゲートウェイなどのネットワーク境界の対策やアプライアンスを念頭に置いているようです。

前述の記事は、医療機器のセキュリティは自社の初期防衛線の 1 つの層にすぎないとする回答がベンダーからあったとしています。これにはある程度妥当とも言えますが、多層型セキュリティは、ネットワークの境界の防御だけに頼る方法より優れています。これらのセキュリティに関する懸念があまり真剣に受け取られていない事実も不安材料です。数多くの研究者がこの意識の向上に取り組み、公共の場で発言することで、機器製造元に圧力をかけています。

Mayo Clinic にとっては、今回の経験が同院の医療機器ベンダーのセキュリティ要件を新たに見直すきっかけとなりました。また、Rios 氏にとっては、この問題の深刻さの理解につながり、ベンダーの関心の低さを認識する結果となりました。ガーディアン紙の Suzanne Schuwarts 氏による記事から引用すると、FDA のサイバーセキュリティパートナーシップの担当ダイレクタは、今回取り上げられた事例は「エコシステムのギャップ」を物語っていると述べたということです。Rios 氏は、Mayo Clinic が大規模で存在感のある、数少ない地に足のついた対策をしている病院の 1 つであるが、小さい病院では問題や懸念が認識すらされていないことを認識しました。

これまでにさまざまなイベントで数多くのデモが行われてきました。たとえば、Rios 氏と Jonathan Butts 氏は、Black Hat カンファレンスでハッキングを実演し、遠隔操作でペースメーカーをシャットダウンできることを示すデモを初めて紹介し、警告しました。Barnaby Jack 氏は 2011 年に開催された Hacker Halted カンファレンスで、マイアミで起きた無線インシュリンポンプを標的にした攻撃を実演しました。前述の記事で紹介された、2008 年の学術研究では、心臓に埋め込む機器やペースメーカーから医療情報を傍受し、機器をオフにしたり、生死にかかわるほど強い電気ショックを与えたりできることを研究者たちが実証しています。

これらの機器ベンダーだけを責めるわけではありませんが、悪が善に勝ることを忘れてはいけません。この問題は一体、どの程度の影響を及ぼすことになるのでしょうか。凶悪な犯罪者に悪用されて、こういった機器を誤作動させて停止するコマンドを実行したとしたら、どうなるのでしょうか。

私がこう考えたのは、Bloomberg の記事で紹介されていた、Rios 氏の研究の話と、彼の研究によって TrapX Security がテストを実施することになったとを知ったからです。彼らは 60 以上の病院に、医療機器のハッキングを追跡するソフトウェアをインストールしました。また、これらの機器の仮想レプリカも作成してインストールし、オンライン状態で動作しているように見せかけるようにしました。TrapX は半年のテストによって、すべての病院にマルウェアに感染した医療機器が存在すると結論付けました。スピアフィッシングで病院スタッフを標的にし、悪意ある電子メールを開くように仕向けたところ、病院のコンピュータが感染して、ネットワーク全体に拡散しました。コンピュータ本体にアンチウイルスがあったため、最終的にはウイルスが捕捉されましたが、医療機器にはどのような対策もなかったのです。

参考資料

Gellman, L. 著（2018 年 8 月 20 日）、
「The Fight to Secure Vulnerable Medical Devices From Hackers」、
出典：http://nymag.com/selectall/2018/08/insecure-medical-devices-vulnerable-to-malicious-hacking.html

Goodin, D. 著（2011 年 10 月 27 日）、
「Insulin pump hack delivers fatal dosage over the air」、
出典：https://www.theregister.co.uk/2011/10/27/fatal_insulin_pump_attack/

Hern, A. 著（2018 年 8 月 9 日）、
「Hackable implanted medical devices could cause deaths, researchers say」、
出典：https://www.theguardian.com/technology/2018/aug/09/implanted-medical-devices-hacking-risks-medtronic

Reel, M. 、Robertson, J. 共著（2015 年 11 月）、
「Hack the Hospital Firewalls and medical devices are extremely vulnerable, and everyone’s pointing fingers」、
出典：https://www.bloomberg.com/features/2015-hospital-hack/