心臓ペースメーカーの深刻な脆弱性

ワイヤレスデバイスに付き物の脆弱性は広くセキュリティ上の課題として認識されていますが、直接生命に関わるようなデバイスも例外ではありませんでした。

心臓ペースメーカーの脆弱性についてのArstechnicaの記事です。

465k patients told to visit doctor to patch critical pacemaker vulnerability | Ars Technica

Abbott Laboratories製の心臓ペースメーカーに発見された脆弱性により、米国内だけで46万5千人に影響が出ています。同製品の利用者はファームウェアのアップデートが必要として、アナウンスされています。

通常、ペースメーカーには必要な設定変更、アップデートやメンテナンスための無線通信機能が備わっています。問題のペースメーカーには深刻な脆弱性が存在し、外部からのハイジャックを許してしまいます。

電波の届く範囲に攻撃者がいれば、ペースメーカーにアクセスし、コマンドを実行して機能障害を引き起こすなど、さまざまな攻撃を仕掛けることが可能です。

利用者は、然るべき医療機関でアップデートを行います。極僅かながらアップデート時に障害が起きるリスクがあるため、ペースメーカーが動作しなくなった場合のバックアップが必要なためです。

近年。心臓ペースメーカー以外にも、インシュリンポンプなどのさまざまな医療用デバイスで、外部からのコントロールを可能にするような危険な脆弱性が発見されています。

しかし、実際の危険性については諸説あり、攻撃を加えるためにはデバイスの近くにいる必要があるなど、攻撃を実行するにもコストがかかるため、実際のリスクは少ないだろうとする見方もあります。反対に、ランサムウェアなどを例に、攻撃者はいずれコストを上回る利益を得る方法を編み出すだろう、と警告する意見もあります。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む