Medtronicのインスリンポンプ、近距離から認証なしにインスリン投与を無線制御可能な脆弱性 18
ストーリー by headless
投与 部門より
投与 部門より
Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせ、
ICSMA-19-178-01、
The Registerの記事、
SlashGearの記事)。
対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。
米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。
このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。
対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。
米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。
このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。
適切な認証の仕組みが実装されていない (スコア:0)
認証の仕組みが適切に実装されていないなら、良くはないが、稀によくある。
誤訳かと思ってを、CVE-2019-10964を見てみると、
直訳としては「適切に実装されてない」が正しいのだが、
意味するところは「適切な認証の仕組みが実装されていない」で合っていそうな雰囲気。
恐ろしい。
Re: (スコア:0)
本当に CVE-2019-10964 読みました?
> This wireless RF communication protocol does not properly implement authentication or authorization
と明記していますが
Re: (スコア:0)
そこを読んでのコメントのつもりだったのですが。
プロトコルに自我があるというなら、そういう解釈もできますが。
Re: (スコア:0)
で、あなたの主張は何なんですか?
適切な認証の仕組みはあったんですか?なかったんですか?
仕様の問題だったんですか?実装の問題だったんですか?
Re: (スコア:0)
「仕様」なんて立派なものがあったかも怪しい。
というのも、Medtronicの医療機器の脆弱性は、もう何度目かもわからんから。
Hacking attacks can turn off heart monitors • The Register [theregister.co.uk]
2008年の植込み型心臓除細動器に対する脆弱性指摘。
このときは、そもそも認証なんてものが存在しなかったみたい。
Insulin pump hack delivers fatal dosage over the air • The Register [theregister.co.uk]
2011年のインスリンポンプに対する脆弱性指摘。
認証はしていたっぽ
Re: (スコア:0)
答えは全部出てるんですけど?
> 適切な認証の仕組みはあったんですか?なかったんですか?
答えは
This wireless RF communication protocol does not properly implement authentication or authorization
です
貴方の質問に直接答えるなら「ありませんでした」となります
> 仕様の問題だったんですか?実装の問題だったんですか?
答えは
This wireless RF communication protocol does not properly implement authentication or authorization
です
CVEを読むような人なら普通、プロトコル=通信規約∈仕様と解釈します
貴方の
Re: (スコア:0)
傍から見てるとはじめっから
「実装ではなく仕様の問題です」って書けばいいのに何でそんなとこ絡んでくの?って感じ
Re: (スコア:0)
そもそもの#3643083が「実装ではなく仕様の問題」(っぽい)てコメントなのにね。
Re: (スコア:0)
別の人間ですが
> 直訳としては「適切に実装されてない」が正しいのだが、
これは明らかな間違いで、知らない人が間違えて理解すると危険です
> そもそもの#3643083が「実装ではなく仕様の問題」(っぽい)てコメントなのにね。
っぽい、ではなく、明確にプロトコルに欠陥があったと書いています
> This wireless RF communication protocol does not properly implement authentication or authorization
他に解釈のしようもありません
implementから適当に主語を考えるような、英語をまともに読めないやつはコメントするな
ということです
Re: (スコア:0)
> 別の人間ですが
はあ。じゃあ黙っていればいいのに。
少なくとも(#3643880)に言う話ではない。
レスする場所は選べ。
Re: (スコア:0)
(#3643880)は誤りをそのまま受け取ったので、コメントはここでいいのです
暗殺に利用できる? (スコア:0)
ハッキングでインスリンの量を致死量にコントロールしてさ。
もはやSFの世界だ
Re: (スコア:0)
できるだろうね。
ペースメーカーの脆弱性の時点で出来てたけど……
殺害成功率はこっちのほうが高いかな?
Re: (スコア:0)
たしかにインシュリン過剰投与による低血糖は命に関わるけど、単に摂取カロリー不足や
運動のしすぎでも低血糖は起こるし、薬を使ってる糖尿病患者は常に気をつけるように
言われる。低血糖はそこそこ良くあることで、ある意味で日常生活の一部だ。
パック詰めされたブドウ糖などを持ち歩いてるし、自覚症状もあるから気づいた時点で
それを飲めば大事には至らない。
過剰投与すればほぼ確実に低血糖を起せるけど、そこで対応が遅れて死に至るとなると、
前もって睡眠薬でも飲ませておかない限りは確実性に乏しいと思う。
「運が悪ければ死ぬこともある非常に悪質な悪戯」だけど、計画殺人に利用するにはイマイチ。
Re: (スコア:0)
ペースメーカーが停止すると即座に死んじゃう人ってそこまで多くは無いと思われるので、
ボロボロな心臓が相手とはいえしっかり止めるには心停止を高確率で引き起こすような制御が必要になる。
インシュリンポンプだとどのレベルの患者に対してもインシュリン過剰投与を仕掛けられる。
ブドウ糖持ち歩いてても、血糖値低めの状態を狙って最大速度で投与されたら使えるかどうかは賭けになるし、
数日分のインシュリンを抱え込んでるっぽいのでそれを全部打ち消すだけのブドウ糖持ってるかは怪しいのでは?
ポンプつけたまま寝てるようならバイタルや時間から睡眠中狙って全量打ち込むとかもできちゃうし。
まぁペースメーカーもうまいこと心停止させる制御ができるなら高確率で殺せるんだろうけど……
バカ正直に10パルス/秒で刺激したら心筋細動状態になってくれるのだろうか?
この辺の検討や検証の必要性が攻撃成功率を下げると予想した結果が、
インシュリンポンプのほうが攻撃効果高めって予想です。
Re: (スコア:0)
>数日分のインシュリンを抱え込んでるっぽいのでそれを全部打ち消すだけのブドウ糖持ってるかは怪しいのでは?
持ち歩いてるかは怪しいけど、べつに血糖値上げるのはブドウ糖である必要はない
からね。缶ジュースでも飲めば相殺できるでしょう。
#缶ジュースが低血糖対策に推奨されないのは糖分が「多すぎる」からで、普通に飲むと高血糖になるから。
付近に食べ物や飲み物がある環境下では暗殺の確実性は乏しい。
最悪でも意識を失う前に救急車呼ぶなりすればいいので。
確実に暗殺を成功させるには丸一日絶食させてから、食べるもの一つ無い密室に閉じ込めてから、
新品のインシュリ
Re: (スコア:0)
ポンプで打ち込むインシュリンの効果が過小評価されてるように見えてならんのだが……
「前もって睡眠薬でも飲ませておかない限りは確実性に乏しいと思う。」
とあなたが言うように異常に対して即座に対策取れる状況でないとかなり危険なのは間違いないだろ?
カートリッジ交換直後の朝5時あたりに全量ぶち込めば非常に深刻な低血糖を起こすのは容易だろう。
低血糖になると元気溌剌に飛び起きるとかでもない限り、
睡眠中に打ち込まれたら対応なんて無理。
てーか起きてても最大速度で打ち込まれて、
異常に気づいてから対処するまで行動能力維持できるかね?