数百カ所の病院が導入している自律型ロボットにハッキングで遠隔乗っ取りの危機

医薬品や検体、食品などの輸送を担う自律型ロボットを開発する「Aethon」のシステムに、リモートで遠隔操作されかねない脆弱(ぜいじゃく)性があったことが判明しました。

JekyllBot:5 Command Center
https://www.cynerio.com/jekyllbot-5-command-center

Autonomous robots used in hundreds of hospitals at risk of remote hijacks | TechCrunch
https://techcrunch.com/2022/04/12/aethon-robots-hospitals-hijacks/

サイバーセキュリティ企業・Cynerioの研究者によると、脆弱性はロボット自体ではなく、ロボットと通信を行い制御するベースサーバーに存在するとのこと。ベースサーバーには病院のネットワーク内からアクセスできるウェブインターフェイスが存在しますが、これに脆弱性があり、ゲストユーザーがパスワードを必要とせずにリアルタイムのロボットカメラとスケジュール、タスクを表示できる状態であることが明らかになりました。研究者らは重大な5つの脆弱性を「JekyllBot」と呼称しています。

ロボットの機能は管理者アカウントによって保護されていましたが、脆弱性により、ハッカーが管理者アカウントの資格情報を必要とせずにロボットを操作できる可能性があるとのことで、研究者は「脆弱性を利用することでロボットを遠隔操作したり、病院内のエレベーターを操作したりすることができる」と述べています。

ロボットへのアクセスがローカルネットワークからのみに制限されている場合は潜在的なリスクを回避できるとのことですが、そうでない場合はあらゆる場所から攻撃を受ける可能性があるため、Aethonのロボットを導入する世界中の数百の病院が危険にさらされたおそれがあるとのこと。

AethonはCynerioからの報告を受けてファームウェアのアップデートを実施。脆弱性を修正したと報告しています。この問題を報じたTechCrunchは「AethonのCEOであるPeter Seiff氏は脆弱性の存在を認めたものの、アップデートがロボットの何割に適用されたのかといった他の質問には答えなかった」と記しています。