次回 MRI スキャンを受けるときは、結果を見るのは医師だけではないことを思い出してください。
MRIスキャナー、X線装置、薬剤注入ポンプなど数千の医療機器がハッキングに対して脆弱であり、患者の健康に重大なリスクをもたらしていると、セキュリティ研究者らが今週発表した。
リスクが発生する一因は、医療機器がインターネットに接続されることが増え、電子患者記録システムにデータが取り込まれるようになっていることだと、セキュリティカンファレンス「ダービーコン」でマーク・コラオ研究員とともに研究結果を発表したスコット・アーベン研究員は述べた。
プライバシーの懸念に加えて、ハッカーが人々の医療記録や治療計画を改ざんできる場合、安全上の問題もあるとアーベン氏は述べた。
「こうしたデバイスが接続され始めると、データが盗まれるだけでなく、安全上の問題が発生する可能性もある」と彼は述べた。
研究者らは、インターネット接続機器を検索する検索エンジン「Shodan」で「放射線学」や「足病学」などの用語を検索して、医療機器を見つけ出した。
一部のシステムは設計上インターネットに接続されていましたが、他のシステムは設定エラーが原因で接続されていませんでした。また、医療機器の多くは、メーカーが提供するデフォルトのログイン情報とパスワードを依然として使用していました。
研究者らは、機器のセットアップに使用することを目的とした公開文書を調査し、いくつかのセキュリティ対策が恐ろしく不備であることを発見した。
デバイスの異なるモデルで同じデフォルトパスワードが繰り返し使用されており、メーカーによっては、デフォルトパスワードを変更するとサポートを受けられなくなる可能性があると顧客に警告していたケースもありました。これは、サポートチームがシステムのメンテナンスを行うためにパスワードが必要だったためと思われます。
研究者たちはGEヘルスケアの機器に焦点を当てたが、どの企業でも選んでよかったと述べている。GEは「最も進歩的な」ベンダーの一つであり、欠陥が指摘された際に迅速に対応したと研究者らは述べている。
彼らは、GE 製品で最も頻繁に使用されるログインとパスワードを示すワードクラウドを作成しました。それは次のようになります。
スコット・アーヴェン/マーク・コラオ GE医療機器で頻繁に使用されていたデフォルトのログインとパスワードを示すワードクラウド
エヴレン氏は、患者の安全が脅かされるには悪意のあるハッカーは必要ない、患者自身が危険にさらされる可能性があると指摘した。 彼は、事故で入院していた2人の患者が鎮痛剤の点滴をハッキングし、投与量を増やした事例を挙げた。
「モルヒネを服用しているのに、自分のポンプをハッキングする方法を理解できるのであれば」、医療機器のセキュリティは明らかに「あまり良くない」とエヴレン氏は語った。
これらのデバイスはオンライン上のハッキングに対して脆弱なだけではない。研究者たちは、ある匿名の医療機関のネットワークにアクセスし、6万8000台以上のデバイスに関する詳細な情報を発見した。ホスト名、機器の機能、病院内の設置場所、担当医師などが含まれていたとコラオ氏は述べた。
誰かがその情報を簡単に利用してフィッシング攻撃(悪意のある添付ファイルを開かせるための標的型メール)を仕掛けることが可能です。
ハッカーが医療機器をどれほど積極的に狙っているかを把握するため、コラオ氏は10台の「ハニーポット」を設置した。ハッカーを誘き寄せるために医療システムの外観を模倣したコンピュータである。ハニーポットは 55件のログインに成功し、24件のエクスプロイト(そのほとんどはWindowsの脆弱性MS09-067を悪用したもの)と299件のマルウェアサンプルを検知した。
プラス面としては、ハッカーがこれらのデバイスが医療システムに似ているという理由で特に標的にしたという証拠はないが、依然として標的になっているとコラオ氏は述べた。
「次回、病院で機械に接続する際に、壁まで伸びているイーサネット ケーブルを見たら、もう一度よく考えてみてください」と彼は語った。
