パスワードを忘れた? アカウント作成
15588877 story
医療

スマート輸液ポンプの大半で既知の脆弱性が修正されていないという調査結果 9

ストーリー by headless
放置 部門より
Palo Alto NetworksのUnit 42 がスマート輸液ポンプ 20 万台以上のセキュリティを調査したところ、大半でセキュリティ上の問題 1 件以上が修正されていなかったそうだ (Unit 42 のブログ記事日本語版HackRead の記事)。

調査は同社の IoT Security for Healthcare を使用する医療機関から収集されたデータを対象としたものだ。発見された問題は既知のセキュリティ脆弱性 40 件以上、そのほかの IoT デバイスに関するセキュリティ上の問題 70 件ほどで、 75% のスマート輸液ポンプで 1 件以上の問題が修正されていなかったという。中でも CVE-2019-12255 (深刻度: 緊急) と CVE-2019-12264 (深刻度: 高) の両方が見つかったスマート輸液ポンプは 52.11% にのぼる。これら 2 件は VxWorks OS の脆弱性で、前者は TCP コンポーネントのバッファーオーバーフロー脆弱性、後者は不適切なアクセスコントロールとなっている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by jizou (5538) on 2022年03月06日 14時45分 (#4210697) 日記

    なんだろうと思ったら、薬などを体に入れる機械なんですね。
    ICUで見た記憶があります。
    セキュリティホールをついて、薬剤の量を増やし、
    患者をリモートで殺したりできるのかな?

    こういう機材は、メンテナンス会社さんがしっかり対策してほしいものです。

    • by Anonymous Coward

      医療関係だと「未知の脆弱性が怖いから、そもそも外部ネットワークと物理的に遮断する」でセキュリティを保ってるケースが多い印象。
      それ故に、無線機器やその周辺の脆弱性に対して、対策が遅れやすいのかも。

      • by Anonymous Coward on 2022年03月06日 16時53分 (#4210723)

        > それ故に、無線機器やその周辺の脆弱性に対して、対策が遅れやすいのかも。

        そもそもまともな医療機器は無線LANを使わないと思います。

        私が知ってる機器だと全部有線LAN。漏電対策とかノイズ対策で電気的なアイソレーションが必要な場合でも無線LANは使わずに光ファイバーで繋ぎます。(電源は医療用の絶縁トランス)
        ですから院内ネットワークが閉じてればセキュリティホールは放置でも実質問題ありません。

        そもそも医療機器のソフトウェア・OSは滅多にアップデートしません。医療機器は安全性に関する認証が必要で、ソフトウェアが変わると認証を取り直す必要があるからです。
        それにはとんでもない費用と時間が掛かります。ですから多くの場合、最初から無線LANなんて使わないで有線LANを選択、物理的にネットワークを切り分ける設計になると思います。

        親コメント
        • by Anonymous Coward on 2022年03月06日 18時21分 (#4210757)

          ここに一票かな
          たとえばFDAを取るとしたら最低でも1年、取得失敗とかのリトライで長引いたりすると2年とか普通にかかります
          ここで挙げられている脆弱性2件は最初の報告が2019年なので
          対応している機器が約48%あるっていうほうがむしろよく頑張っていると感じてしまいます

          自分が携わっているのは医療機器ではなく検査機器の方なのでちょっと事情が違うかもなのですが
          上記のような事情でFDA取得を目指してデータや資料を整えるのは大抵は最新から4~5くらい前のバージョンになります

          もちろん「人の命がかかってるんやぞ!!」と詰められたらとても心苦しくはあるのですが、、
          現実は言うは易し行うは難しかと

          親コメント
        • by fukapon (4131) on 2022年03月06日 19時22分 (#4210767)

          ですから院内ネットワークが閉じてればセキュリティホールは放置でも実質問題ありません。

          そんなことを言える時代はとうに過ぎたのでは。
          病院って結構開放的なところで、それこそCOVID-19が流行るまでは誰でも怪しまれず物理アクセスできる医療機器だってゴロゴロしていたから、ね。

          攻撃して得られるものが何かと考えると、攻撃されにくいところだとは思いますが。
          ランサムウェアの延長線上でお前ら金払わないと全部止めるぞ的なのはあるかも知れませんね。

          親コメント
          • by Anonymous Coward

            物理攻撃できるところまで行ってクラッキングで攻撃ですか

        • by Anonymous Coward on 2022年03月06日 19時41分 (#4210770)

          無線系はほぼ使わないというのが鉄則ですね。

          代わりに有線式だと軍が使用するような、所謂産業向けL3/L2スイッチ、
          不通になっても患者の生命の危機にならないエリアだと、エンタープライズ
          向けのインテリジェントスイッチの導入が経験上多いいです。

          親コメント
        • by Anonymous Coward

          テルモが無線LAN対応の輸液ポンプとしても使えるシリンジポンプを出してます。

          https://www.terumo.co.jp/pressrelease/detail/20180514/653/index.html [terumo.co.jp]

  • by Anonymous Coward on 2022年03月06日 14時30分 (#4210694)

    いつの間にか、一つ増えてた。
    Only two remote holes in the default install, in a heck of a long time!

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...