心臓ペースメーカーの深刻な脆弱性

2017.09.08 三和コムテック

ワイヤレスデバイスに付き物の脆弱性は広くセキュリティ上の課題として認識されていますが、直接生命に関わるようなデバイスも例外ではありませんでした。

心臓ペースメーカーの脆弱性についてのArstechnicaの記事です。

465k patients told to visit doctor to patch critical pacemaker vulnerability | Ars Technica

Abbott Laboratories製の心臓ペースメーカーに発見された脆弱性により、米国内だけで46万5千人に影響が出ています。同製品の利用者はファームウェアのアップデートが必要として、アナウンスされています。

通常、ペースメーカーには必要な設定変更、アップデートやメンテナンスための無線通信機能が備わっています。問題のペースメーカーには深刻な脆弱性が存在し、外部からのハイジャックを許してしまいます。

電波の届く範囲に攻撃者がいれば、ペースメーカーにアクセスし、コマンドを実行して機能障害を引き起こすなど、さまざまな攻撃を仕掛けることが可能です。

利用者は、然るべき医療機関でアップデートを行います。極僅かながらアップデート時に障害が起きるリスクがあるため、ペースメーカーが動作しなくなった場合のバックアップが必要なためです。

近年。心臓ペースメーカー以外にも、インシュリンポンプなどのさまざまな医療用デバイスで、外部からのコントロールを可能にするような危険な脆弱性が発見されています。

しかし、実際の危険性については諸説あり、攻撃を加えるためにはデバイスの近くにいる必要があるなど、攻撃を実行するにもコストがかかるため、実際のリスクは少ないだろうとする見方もあります。反対に、ランサムウェアなどを例に、攻撃者はいずれコストを上回る利益を得る方法を編み出すだろう、と警告する意見もあります。