headless 曰く、

Medtronic がインスリンポンプ用リモートコントローラーの緊急リコールを米国で発表している(Medtronic の通知、 FDA のリコール情報、 CISA のアドバイザリー、 HackRead の記事)。

対象となるリモートコントローラーはインスリンポンプ MiniMed 508 用の MMT-500 および MiniMed Paradigm ファミリー用の MMT-503 で、2 件の脆弱性 (CVE-2018-10634 / CVE-2018-14781) により攻撃者がユーザーに対しインスリンの追加注入 (ボーラス) を実行できる。CVE-2018-10634 はセンシティブな情報を平文で送信する脆弱性で、CVE-2018-14781 はキャプチャ-リプレイによる認証のバイパスが可能な脆弱性だ。

脆弱性は 2018 年に報告され、Medtronic はリコールを発表したが、これらのデバイスが旧型ということもあって対応は緩和策の紹介にとどまり、インスリンポンプ本体が保証期間内のユーザーにのみ通知していた。しかし、その後の調査でリモートコントローラーを使用する利点を上回るリスクが判明したことから、全ユーザーに使用中止を呼び掛け、製品回収を実施することにしたという。米食品医薬品局 (FDA) の区分では最も深刻な Class I のリコールとなっている。

実際に攻撃が成立するのは、ターゲットとなるユーザー側でポンプのリモート操作オプションを有効 (デフォルトでは無効) にしてリモートコントロール ID を登録し、リモートボーラスをオンにして注入量を設定している場合だ。これにより、攻撃者はポンプとリモートコントローラーが通信する電波の到達範囲内で信号を記録・再生することで攻撃を実行できる。ただし、ユーザーにはリモートボーラス実行が通知されるため、攻撃に気付かれる可能性もある。なお、MiniMed Paradigm の簡易マニュアル (PDF) によると、日本ではリモートオプション自体が使用できないようだ。

ちなみに、MiniMed 508およびMiniMed Paradigm では近距離から認証なく無線アクセスが可能な脆弱性が 2019 年に見つかっており、米国でリコールが行われている。