by Steven Fruitsmaak

心臓がうまく機能しないと命に大きく関わりますが、電気パルスで心臓をサポートしてくれる「ペースメーカー」を埋め込めば、普段と変わらない生活を送ることができます。そんなペースメーカーに「セキュリティ脆弱性が存在する」と指摘した研究者が、実際にペースメーカーへのハッキングを再現し、なかなか対策を取ろうとしない医療機器メーカーを強く批判しています。

Hack causes pacemakers to deliver life-threatening shocks | Ars Technica

https://arstechnica.com/information-technology/2018/08/lack-of-encryption-makes-hacks-on-life-saving-pacemakers-shockingly-easy/

メドトロニック製の遠隔モニタリング装置「ケアリンク」は、体内に埋め込んだペースメーカーとデータをやりとりすることによって、ペースメーカーで取得したデータをサーバーに送信したり、ペースメーカーのファームウェアをアップデートしたりすることを可能にする機器です。通常ペースメーカーは専門の技師による対応を必要としますが、ケアリンクを利用することで医師が直接ペースメーカーのデータを閲覧することが可能となります。



セキュリティ研究者のビリー・ライオス氏とジョナサン・バッツ氏は、理論的にはメドトロニックが管理しているケアリンク用のサーバーに侵入できると述べ、さらにケアリンク自体もインターネット上で流通している中古の調整ツールを使えばハッキングが可能だと指摘しました。もしペースメーカーの動作に異常を与えるような悪意あるファームウェアを強制的に実行されたとしても、技術的な知識を持たない医師では検出することは難しいだろうと、ライオス氏とバッツ氏は語りました。

また、2人は、同社のインスリンポンプにもセキュリティの脆弱性があり、悪用すればインスリンの分泌量を誰でも自由に変更できてしまうと2018年5月に指摘しています。しかし、メドトロニックは、ライオス氏とバッツ氏が指摘したペースメーカーとインスリンポンプの脆弱性について公表することなく、具体的な対策を施さないまま放置していました。

そこでライオス氏は2018年8月9日に、アメリカ最大のセキュリティイベント「Black Hat USA 2018」において、eBayで購入した中古の調整ツールを用いてペースメーカーやインスリンポンプへのハッキングを実演。「メドトロニックにこの脆弱性を報告したのはおよそ1年半も前のことです」と述べて、メドトロニックを初めとした医療機器メーカーの遅い対応とセキュリティの脆弱性を軽視する姿勢を批判しました。





一方でメドトロニックは2018年8月7日付けでセキュリティ情報を更新し、ケアリンクとインスリンポンプのセキュリティ問題についての文書を発表しました。その中でメドトロニックは、2017年に指摘されたケアリンクのセキュリティ問題は対処済みだとコメントし、インスリンポンプのセキュリティホールは古いタイプで限定的な状況のみで発生するためリスクは低いとしています。

ライオス氏は、メドトロニックがセキュリティ問題を指摘してから具体的な対策を取り公表するまでに時間をかけすぎたと批判し、「セキュリティ研究者として、現時点では埋め込み式の医療機器のメリットがリスクを上回っていると考えていますが、どの医療メーカーもメドトロニックのような姿勢であれば、リスクの方が大きいといえるかもしれません」とコメントしています。