植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 29
ストーリー by headless
心配 部門より
心配 部門より
Medtronicの植込み型除細動器(ICD)や心臓再同期療法除細動器(CRT-D)とプログラマーやモニターとの通信に使われるMedtronic Conexusプロトコルに存在する、患者を攻撃可能な脆弱性2件が公表された(セキュリティ情報: PDF、
ICS-CERTのアドバイザリ、
Ars Technicaの記事、
The Registerの記事)。
CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。
ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。
なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。
CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。
ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。
なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。
Linux搭載スマートライフルスコープ (スコア:3, 興味深い)
この手の話だと、Linux搭載ライフルスコープの話を思い出す。
米国で普及してる民生ライフルに取り付けて、「引き金が引かれていて照準が補正先の位置と一致した時、発火機構の差し金を外して発砲させる」というやつ。Wi-Fi経由で簡単にログインできて、元々スコープのど真ん中を狙うわけじゃないから、ハッキングされて狙いをずらされても分からない、なんて話題になった。
で、製造元から出たコメントが「Wi-Fiの飛距離は数十mです。通信範囲に攻撃者が存在する場合は、通常の銃器を使い安全を確保してご利用下さい」。セキュリティの最後の防衛線は、いつでも信頼と物理的な絶縁なんだな。
携帯電話やPHSなどの電磁波やFOXDIEなどの… (スコア:1, すばらしい洞察)
携帯電話やPHSなどの電磁波がこれまで問題視されてきましたが
通信プロトコルを通じてのクラッッキングが可能となるとすれば
医療機関や交通機関のみならず公共の空間での通信機器の使用が
著しく制限を受けることになるのでは?などと思う今日この頃…
FOXDIEなどのナノマシン技術を使わなくても除細動器を止めれば
というのは…メタルギア・ソリッド2で既に語られている訳で…
現実になる日が来ようとは…小島監督…流石です…
Re: (スコア:0)
テレビ以上の産業になってる無線通信産業は電波利用料をもっと負担しないとね
Re: (スコア:0)
除細動器で止められる人なんて人口の1%未満だろうし、外見で判断できない。
ましてや除細動器なら全て止められるわけじゃなく、脆弱性を持った製品だけだし。
その程度の理由で通信機器を制限することとかありえないし、それをゲーム世界と同一視は無理がありすぎる。
(リスクという話をするなら、たとえば警察無線とかが使えなくなる社会的・人命的リスクのほうが大きいし、飛び交ってる電波が人命に関わるものかそうでないかなんて判断は困難だし)
Re: (スコア:0)
> 公共の空間での通信機器の使用が著しく制限を受けることになるのでは?
制限したところで監視して即警告出す仕組みが整備されるわけでもないので攻撃者にとっては何も効果がない。
そもそも脆弱性は潰すべきだし、どうしても潰せない脆弱性が見つかって何年も付き合う必要が出てきて初めて、
その脆弱性を想定した電波監視・警告機器を作るかどうかの話になるだろう。であれば監視内容も絞れるので全通信規制とは行かんだろうね。
夢見たい気持ちはよく分かるけどこの話題でそれはちょっと行き過ぎ。
ペースメーカーをハックする殺人が現実的な範囲になってきたという話以上の事はない。
Re: (スコア:0)
ツリートップみたいな規則の決め方と執行の仕方が分かんない奴、相手したことあるわ。
正常系の処理だけつらつら書いてお終いなの。「〇〇の場合は〇〇します。」だけ延々。
何聞いても分かんないみたいだった。
Re: (スコア:0)
医療機器の脆弱性は過去に何度も出ている
ただどれも理論上可能というだけで簡単に実行できるものじゃない
他のコメントのとおりこれも成立条件が厳しいね
Re:携帯電話やPHSなどの電磁波やFOXDIEなどの… (スコア:1)
厳しそうな文体だけど実際攻撃する意思があるなら通信ONな奴の6m以内に近づくだけだぞ。
スタンガンで襲い掛かるような目立つマネする必要も無いし、
攻撃デバイス隠して近づくなり近場に隠して通り掛かるのを待つだけでいい。
これの攻撃が困難ってのは「人間は計画的に殺人する程の動機を抱くのは難しい」って言ってるのに等しい。
たしかにそこまで踏み外す奴はそう多く無いが、手段の難易度の話ではなくなっている。
それに、これの場合開発元を脅迫する為の見せしめとしてであれば金って分かりやすい動機もある訳で。
Re:携帯電話やPHSなどの電磁波やFOXDIEなどの… (スコア:1)
「特定の人物を殺害したいと感じる」かつ「その人物が脆弱性のあるペースメーカーをつけていることを知る」のは、条件が揃うのは難しいんじゃない?
更に「攻撃に必要なデバイスを足がつかないように調達する」も必要。バレても良いから殺したいなら撃つ撲る刺す絞める等、オプションはいくらでもあるし。
Re: (スコア:0)
家族なら機種まで知ってるんじゃない?
Re: (スコア:0)
殺人を忌避しない愉快犯や企業相手の脅迫目的の奴なら、
該当機種使用で通信ONなら誰を攻撃してもかまわないんだけど、
ちゃんと読んだの?
攻撃目的なら電波法も無視できるからデバイス作成のハードルはだいぶ下がる。
Re: (スコア:0)
確率の問題だけど、そういう脅迫をしてうまくいくか微妙じゃないかなぁ。
ヘタしたら既存機器を使ったハニーポッドあっさり作られてお縄になるだけじゃね?
街でそういう人に出会うより、犯人捜しの機器を随所にばらまくほうが楽。
# 人口何十人の過疎地の村とかでやるバカは居ないだろうから、警戒するのは都会だけで済むし
Re: (スコア:0)
その調査機器(ハニーポット含む)を開発して電波法等の承認取って量産して配備して運用するまでにいくら必要で何ヶ月かかってその間に何人被害が出ると思ってんだw
そのうえそんなバカな機器作ったところで脆弱性そのままなら検知して捕まえるまでの間に攻撃成功されればオシマイ。
承認手続き除けば普通はバグ潰したファーム配布するほうが何倍も楽で早いからそんなのはバカバカしいとしか言えん。
まぁ、バグ潰す方向だと犯人探しが出来んけど、
犯人探しの為に死者を出すリスクを許容する医療機器企業なんてヤバすぎるし論外だろう。
だけどそのファームの配布までの時間ですらリスクがあるならそれは防ぐべきリスクとなる。
死人が出たら負けなんだから対策費用と要求額で要求額のほうが低い場合、十分に転ぶ可能性があるだろうね。
あと、バグ潰しつつ犯人探し機器開発しても、バグ潰した時点で相手が撤退すりゃただの無駄足。
犯人探し機器を開発する利点はほぼ無いんじゃないかな。
Re: (スコア:0)
医療用の機器なのに6mも離れて通信出来るってのが既に脆弱性の様にも思える。
体外から非接触で通信したいのは判るが、体表面程度でも良いと思うのだが。
Re:おれのキンタマ認証にも脆弱性が、、、 (スコア:0)
人為的にシステムの脆弱性をついて生命維持補助装置に悪さをするもの問題だが
身近なもので言うと 車のキーレスエントリによるエンジン始動システムも
人工心臓を内蔵している人からすると脅威ですよ
ゼロリスクも結構だけど (スコア:0)
これより車に轢かれたり通り間に合う危険性のほうが高くないですかね?
Re: (スコア:0)
誰もがいずれ100%死ぬから、お前はいちいち気にしなくてもいいよ
Re: (スコア:0)
これの場合攻撃が開始されると範囲内の対象者は結構な確率で重大な危機に晒される。
攻撃の現実性と、リスクの大きさ考えたらそこらのヒステリーと同列に語ったらだめ。
ってだいぶ攻撃能力が低そうに見える書き方だけど、攻撃用デバイスを作成して通信ONのままほったらかしてる標的の6m以内に侵入すれば攻撃成功なんだから十分現実的なリスク。
Re: (スコア:0)
無差別的なテロを想定するなら、ONの状態になっている可能性が高い
病院とかで攻撃される可能性が高そうですね
これ、実行するにはどこまで近づく必要あるの? (スコア:0)
そこまで近づけるんなら、スタンガンで十分じゃね?
Re: (スコア:0)
まあ、人間には刺されたら死ぬという脆弱性があるしな。
そういう普通のやり方よりも、悟られないように攻撃を完遂しやすいとか、攻撃者が逃げおおせやすいとか、問題が有るとするとその辺り。
Re: (スコア:0)
通信可能範囲内(最大6m)から「40秒後に心臓麻痺」っていうファームを送ればOKですからね。
スタンガンだの通り魔だのと比較してる人はまあ、ややこしいことをとりあえず矮小化するタイプなんでしょう。
Re: (スコア:0)
まあ、ややこしいからな。
ファームウェア書き換え放題ぐらいはさすがになんとかすべきだけど、ファームウェアアップデート用の鍵の扱い失敗して機器の回収になったような事例もあるので、よくよく気を付ける必要がある。
外から設定変更とか、モニタリングとかもちょっと考えた方が良い。
設定変更のハードルを上げると、緊急事態に困ることになる。SFなんかでよくよくネタにされる、徹底的に安全サイドに倒して引きこもったら救助が間に合わなくて死ぬテンプレ。
本人が暗記しているパスワードが必要→気絶してたら? とか、その都度どこかに問い合わせる→間に合う? その問い合わせ窓口は安全? とか。
Re: (スコア:0)
その通りだけど近づける環境さえあればここまで手の込んだことしなくても今でも磁石で攻撃可能。
実際は近親者とかでない限りはかなり難しいけど。
例えば満員電車でマグネットを近づければモード変更がかかるのでスタンガンよりばれにくい。
マグネットでペースメーカーは非同期固定レートになって自脈と競合状態を作ることは可能だしICDも検出無効にできる。
ちなみに磁石じゃなくてもポータブルオーディオプレーヤーとヘッドホンでペースメーカーの誤作動を引き起こせたなんていう臨床研究もある。
直ちに (スコア:0)
使用を中止してください
Re: (スコア:0)
リモート監視の通信機能をね
Re: (スコア:0)
お知らせ: 誤動作する可能性がありましたので、当該機器をリモート停止いたしました。
Re: (スコア:0)
ボケ直してそれじゃあ、記事の誤読を疑うレベルだな…
植え込み (スコア:0)
季節には剪定したり枯れ葉や枝の掃除したり。
手入れが大事という点は同じかな。