セキュリティ

「心臓のペースメーカーはハッキング可能でいまだに対処されていない」とセキュリティ研究者が警告

by Steven Fruitsmaak

心臓がうまく機能しないと命に大きく関わりますが、電気パルスで心臓をサポートしてくれる「ペースメーカー」を埋め込めば、普段と変わらない生活を送ることができます。そんなペースメーカーに「セキュリティ脆弱性が存在する」と指摘した研究者が、実際にペースメーカーへのハッキングを再現し、なかなか対策を取ろうとしない医療機器メーカーを強く批判しています。

Hack causes pacemakers to deliver life-threatening shocks | Ars Technica
https://arstechnica.com/information-technology/2018/08/lack-of-encryption-makes-hacks-on-life-saving-pacemakers-shockingly-easy/


メドトロニック製の遠隔モニタリング装置「ケアリンク」は、体内に埋め込んだペースメーカーとデータをやりとりすることによって、ペースメーカーで取得したデータをサーバーに送信したり、ペースメーカーのファームウェアをアップデートしたりすることを可能にする機器です。通常ペースメーカーは専門の技師による対応を必要としますが、ケアリンクを利用することで医師が直接ペースメーカーのデータを閲覧することが可能となります。


セキュリティ研究者のビリー・ライオス氏とジョナサン・バッツ氏は、理論的にはメドトロニックが管理しているケアリンク用のサーバーに侵入できると述べ、さらにケアリンク自体もインターネット上で流通している中古の調整ツールを使えばハッキングが可能だと指摘しました。もしペースメーカーの動作に異常を与えるような悪意あるファームウェアを強制的に実行されたとしても、技術的な知識を持たない医師では検出することは難しいだろうと、ライオス氏とバッツ氏は語りました。

また、2人は、同社のインスリンポンプにもセキュリティの脆弱性があり、悪用すればインスリンの分泌量を誰でも自由に変更できてしまうと2018年5月に指摘しています。しかし、メドトロニックは、ライオス氏とバッツ氏が指摘したペースメーカーとインスリンポンプの脆弱性について公表することなく、具体的な対策を施さないまま放置していました。

そこでライオス氏は2018年8月9日に、アメリカ最大のセキュリティイベント「Black Hat USA 2018」において、eBayで購入した中古の調整ツールを用いてペースメーカーやインスリンポンプへのハッキングを実演。「メドトロニックにこの脆弱性を報告したのはおよそ1年半も前のことです」と述べて、メドトロニックを初めとした医療機器メーカーの遅い対応とセキュリティの脆弱性を軽視する姿勢を批判しました。


一方でメドトロニックは2018年8月7日付けでセキュリティ情報を更新し、ケアリンクとインスリンポンプのセキュリティ問題についての文書を発表しました。その中でメドトロニックは、2017年に指摘されたケアリンクのセキュリティ問題は対処済みだとコメントし、インスリンポンプのセキュリティホールは古いタイプで限定的な状況のみで発生するためリスクは低いとしています。

ライオス氏は、メドトロニックがセキュリティ問題を指摘してから具体的な対策を取り公表するまでに時間をかけすぎたと批判し、「セキュリティ研究者として、現時点では埋め込み式の医療機器のメリットがリスクを上回っていると考えていますが、どの医療メーカーもメドトロニックのような姿勢であれば、リスクの方が大きいといえるかもしれません」とコメントしています。

・関連記事
3万円で自作できる画期的な「人工すい臓」は医療機器のセキュリティホールを突くことで誕生した - GIGAZINE

心拍数測定可能なウェアラブル端末があれば85%という驚きの精度で糖尿病が検出可能という研究結果 - GIGAZINE

Apple Watchで糖尿病治療に革新をもたらすため、Apple内では秘密の研究チームが動いている - GIGAZINE

脳にペースメーカーを入れて電気刺激を送ることで「アルツハイマー病」の進行を遅らせることができる可能性 - GIGAZINE

デンキウナギを参考に体内で発電してコンタンクトレンズ型ディスプレイや心臓ペースメーカーを動かそうという研究 - GIGAZINE

in ハードウェア,   セキュリティ, Posted by log1i_yk