脳波検査システムのソフトウェアに脆弱性

脳波検査システムのソフトウェアに脆弱性 17

ストーリー by headless 2018年04月08日 17時21分
攻撃部門より

脳波検査システム「Natus Xltek EEG」で使用するWindows用ソフトウェア「Natus NeuroWorks 8」で5件の脆弱性が発見されたそうだ(Talos Intelligence Group Blogの記事、 Ars Technicaの記事、 The Registerの記事)。

Natus Xltek EEGシステムはイーサネットポートを備えており、Natus NeuroWorks 8と組み合わせることで、リモートからの状況監視やデータ閲覧が可能となる。Cisco Talosチームが発見したのは、いずれもリモートから特別に細工したパケットを送り付けることで攻撃が可能となる脆弱性だ。4件はスタックベースのバッファーオーバーフローを引き起こして任意コード実行を可能にするもので、あとの1件は境界外読み取りによるアクセス違反を引き起こしてサービス拒否攻撃を可能にするものとなっている。Talosは昨年7月にNatusへ脆弱性の存在を通知しており、脆弱性を修正したNeuroworks 8.1 GMA2がリリースされているとのことだ。Talosでは影響を受けるシステムを使用している病院などに対し、できるだけ早く修正を適用するよう呼び掛けている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索17コメント Log In/Create an Account

医療機器のIoT化 (スコア:1)

by Anonymous Coward on 2018年04月09日 0時08分 (#3390276)

弟が最近、睡眠時無呼吸症候群の診断を受けて、寝るときに空気を鼻から送り込む装置（CPAPというらしい）を使うようになったんだけど。
どこのキャリア回線か知らないけど、モバイル回線を使用して睡眠時のデータをとり、医者がオンラインで効果を確認したり、空気圧等を調節できるようになってるらしい。
ちなみに住宅の電波状況等でモバイル回線が使えないときは、SDカードに記録する機能もあるそうな。
これからもどんどん医療機器のIoT化は進むだろうし、こういう脆弱性の話も増えるのかな。
モノによっては悪用されたら、一歩間違えば命の危険もあると思うけど。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  すでに20年前からペースメーカーが誤反応するから電車内とかで携帯使うなと散々言われてきた我々にとっては何て事も無い
- Re: (スコア:0)
  
  by Anonymous Coward
  
  CPAP治療は今回遠隔診療加算がつくようになったから、今後一気にオンライン化が進むだろうね。
  遠隔診療にした場合、最大で診察を3ヶ月まで伸ばせるなど、患者側にもメリットも大きいし。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  モバイル回線が使えないときは、SDカードに記録する
  というのは順序が逆で、もともとはSDカードに記録するのがデフォで、診察時にSDカードを持っていかなければならなかったんです。
  その後、通信機能を付加して、今の状態になってます。
  私が使ってる機器ではdocomoの3G回線を使ってますね。機器の後ろに「FOMA通信ユニット」とかシールが貼ってある。
未来がきた (スコア:0)

by Anonymous Coward on 2018年04月08日 17時30分 (#3390204)

これで脳のハッキングが実現か？！
- 以下、脳波の電極を攻撃された結果の、妄想をどうぞ (スコア:2)
  
  by hirano (13505) on 2018年04月08日 21時51分 (#3390254) ホームページ
  
  (a)「検査中の患者がロシア語を喋り始めたぞ！」「スパシーバ！ズドラーストヴィチェ！」
  (b)「患者が嘔吐してる！」　患者「バババ、バッファーオーバーフロー...オエエエエ」　
  (c)「患者が両腕を動かしてる」「これは、手旗信号か .... 4, 0, 4 ... not found...」
  （全部妄想なんですけどね）
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    「ここでもしダウンフォースを発生させたらフッフッフ」
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      ああっ。俺様の灰色の脳細胞からピンク色の妄想がダダ漏れにッ！！
      ＃ち、違うぞ。これは俺のじゃないぞ。友達から借りただけだからな。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    誤字しないhylom
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      それはスラドの終わりですか？
- Re:直ちに影響はありません (スコア:1)
  
  by Anonymous Coward on 2018年04月09日 1時56分 (#3390288)
  
  直ちに影響はありませんが、シャクティーパットは脆弱性があり
  じわりじわり洗脳される危険性があります。ご注意ください。
  
  シェア
  
  親コメント
こういう医療用の高いソフトって (スコア:0)

by Anonymous Coward on 2018年04月08日 18時11分 (#3390214)

メーカーの人以外でデバッグを報告してくる暇な人っているの?
- Re:こういう医療用の高いソフトって (スコア:1)
  
  by Anonymous Coward on 2018年04月08日 23時32分 (#3390272)
  
  このへん [netsecurity.ne.jp]とかこのへん [nikkeibp.co.jp]とか
  いくつかコンテストも開かれていますね
  
  シェア
  
  親コメント
外からの攻撃か (スコア:0)

by Anonymous Coward on 2018年04月08日 19時38分 (#3390224)

一定の条件のデータが入力されると、というやつじゃないのか。
脳波でシステムを乗っ取って色々出来るのかと思ったのに。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  システムが脳波を乗っ取って色々できるんじゃないのか…
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    外からシステムを乗っ取って検査を受けてる患者に高出力の電波かなんかを浴びせて
    攻撃する・・・というのはあるかもしれない？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      高出力の電波かなんかを浴びた患者が殺意の波動に目覚めて世界を滅ぼすシナリオを期待したい。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

医療機器のIoT化 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

未来がきた (スコア:0)

以下、脳波の電極を攻撃された結果の、妄想をどうぞ (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:直ちに影響はありません (スコア:1)

こういう医療用の高いソフトって (スコア:0)

Re:こういう医療用の高いソフトって (スコア:1)

外からの攻撃か (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)