パスワードを忘れた? アカウント作成
13570953 story
医療

脳波検査システムのソフトウェアに脆弱性 17

ストーリー by headless
攻撃 部門より
脳波検査システム「Natus Xltek EEG」で使用するWindows用ソフトウェア「Natus NeuroWorks 8」で5件の脆弱性が発見されたそうだ(Talos Intelligence Group Blogの記事Ars Technicaの記事The Registerの記事)。

Natus Xltek EEGシステムはイーサネットポートを備えており、Natus NeuroWorks 8と組み合わせることで、リモートからの状況監視やデータ閲覧が可能となる。Cisco Talosチームが発見したのは、いずれもリモートから特別に細工したパケットを送り付けることで攻撃が可能となる脆弱性だ。4件はスタックベースのバッファーオーバーフローを引き起こして任意コード実行を可能にするもので、あとの1件は境界外読み取りによるアクセス違反を引き起こしてサービス拒否攻撃を可能にするものとなっている。Talosは昨年7月にNatusへ脆弱性の存在を通知しており、脆弱性を修正したNeuroworks 8.1 GMA2がリリースされているとのことだ。Talosでは影響を受けるシステムを使用している病院などに対し、できるだけ早く修正を適用するよう呼び掛けている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年04月09日 0時08分 (#3390276)

    弟が最近、睡眠時無呼吸症候群の診断を受けて、寝るときに空気を鼻から送り込む装置(CPAPというらしい)を使うようになったんだけど。
    どこのキャリア回線か知らないけど、モバイル回線を使用して睡眠時のデータをとり、医者がオンラインで効果を確認したり、空気圧等を調節できるようになってるらしい。
    ちなみに住宅の電波状況等でモバイル回線が使えないときは、SDカードに記録する機能もあるそうな。

    これからもどんどん医療機器のIoT化は進むだろうし、こういう脆弱性の話も増えるのかな。
    モノによっては悪用されたら、一歩間違えば命の危険もあると思うけど。

    • by Anonymous Coward

      すでに20年前からペースメーカーが誤反応するから電車内とかで携帯使うなと散々言われてきた我々にとっては何て事も無い

    • by Anonymous Coward

      CPAP治療は今回遠隔診療加算がつくようになったから、今後一気にオンライン化が進むだろうね。

      遠隔診療にした場合、最大で診察を3ヶ月まで伸ばせるなど、患者側にもメリットも大きいし。

    • by Anonymous Coward

      モバイル回線が使えないときは、SDカードに記録する

      というのは順序が逆で、もともとはSDカードに記録するのがデフォで、診察時にSDカードを持っていかなければならなかったんです。

      その後、通信機能を付加して、今の状態になってます。

      私が使ってる機器ではdocomoの3G回線を使ってますね。機器の後ろに「FOMA通信ユニット」とかシールが貼ってある。

  • by Anonymous Coward on 2018年04月08日 17時30分 (#3390204)

    これで脳のハッキングが実現か?!

    • (a)「検査中の患者がロシア語を喋り始めたぞ!」「スパシーバ! ズドラーストヴィチェ!」
      (b)「患者が嘔吐してる!」 患者「バババ、バッファーオーバーフロー...オエエエエ」 
      (c)「患者が両腕を動かしてる」「これは、手旗信号か .... 4, 0, 4 ... not found...」
      (全部妄想なんですけどね)

      親コメント
      • by Anonymous Coward

        「ここでもしダウンフォースを発生させたらフッフッフ」

        • by Anonymous Coward

          ああっ。俺様の灰色の脳細胞からピンク色の妄想がダダ漏れにッ!!

          #ち、違うぞ。これは俺のじゃないぞ。友達から借りただけだからな。

      • by Anonymous Coward

        誤字しないhylom

        • by Anonymous Coward

          それはスラドの終わりですか?

    • by Anonymous Coward on 2018年04月09日 1時56分 (#3390288)

      直ちに影響はありませんが、シャクティーパットは脆弱性があり
      じわりじわり洗脳される危険性があります。ご注意ください。

      親コメント
  • by Anonymous Coward on 2018年04月08日 18時11分 (#3390214)

    メーカーの人以外でデバッグを報告してくる暇な人っているの?

  • by Anonymous Coward on 2018年04月08日 19時38分 (#3390224)

    一定の条件のデータが入力されると、というやつじゃないのか。
    脳波でシステムを乗っ取って色々出来るのかと思ったのに。

    • by Anonymous Coward

      システムが脳波を乗っ取って色々できるんじゃないのか…

      • by Anonymous Coward

        外からシステムを乗っ取って検査を受けてる患者に高出力の電波かなんかを浴びせて
        攻撃する・・・というのはあるかもしれない?

        • by Anonymous Coward

          高出力の電波かなんかを浴びた患者が殺意の波動に目覚めて世界を滅ぼすシナリオを期待したい。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...