SCAN DISPATCH ：植え込み式医療機器にワイヤレス攻撃の可能性が指摘される

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

　ワシントン大学、マサチューセッツ大学アマースト校、ハーバード大学医学部ベス・イスラエル・ディーコネス医療センター（BIDMC)の共同研究によって、植え込み式医療機器のセキュリティの仔細が明らかになった。Kevin Fu、Tadayoshi Kohnoの両名が、8月に行われたBlack Hat USAで研究成果を発表している。

　研究班は、ペースメーカー、植え込み式除細動器（ICD：Implantable Cardioverter Defibrillator)、ドラッグ・ポンプ（薬を放出するポンプ）、神経刺激装置（neurostimulator）、薬局チップ(Pharmacy-on-a-chip)（薬を放出するマイクロチップ）、義肢などの植え込み式の医療機器に注目した。医療機器によってはワイヤレス通信機能が存在しながらも、数々の理由によってセキュリティがかけられていない場合が多い。そのため、医療機器版のDoSやその他の攻撃をリモートで仕掛けることができ、下手をすると殺人事件を起こすことも可能だと指摘した。

　一番問題が深刻なのは植え込み式除細動器（ICD）。Medtronics社のWebサイトによると、ICDは体内に植え込まれて、突然に起こった心室細動や心室頻拍を自動的に検知し、即座に電気治療を行って心臓の動きを正常に戻すもの。命に関わる重症の不整脈を調整するために、患者の体内に植え込みされる。2007年のデータでは、米国で既に260万人によって使用されているポピュラーな医療機器となっている。

　植え込みされるのは、電池とマイクロコンピュータがチタンのケースの中に納まっている本体と、心臓へ電気刺激を送るリード線。本体のマイクロコンピュータには、担当医師による体外からのワイヤレスによる操作が可能となっている。

　患者がICDを必要と判断した医師は、まず、専用プログラム機器でもってICDに患者の必要情報をプログラムする。そしてこれを患者に手術で植え込み、体外からテスト信号を発して人為的に心臓を停止し、これをICDが感知して電気刺激を送り心拍を正常に戻すことを確認する。患者は、自宅ではホーム・モニタという、体外式のモニタでもって、ワイアレスにICDと通信して、ICDが正常に動いていることを常に確認することができる。

　考えられるワイヤレス攻撃はいくつかある。

　内部犯行として考えられるのは、病院にある医師用の専用プログラム機器を盗みこれを使用するもの。ひとたびこの機器が手に入れば、多くのICDのルート権限を得たのと同様だ。が、ICDはワイヤレスで通信が可能だから、ソフトウエア・ラジオとアンテナやUSRPボードなどがあれば、プログラム機器を自分で組み立てることも可能だ。

　次に考えられるのは、ICDの通信を傍受すること。通信には医師の診断、病院名、担当医師、患者名、患者の生年月日、ICDの製造元やシリアルナンバーなどの情報が平文のまま送信されている。

図1：
https://www.netsecurity.ne.jp/images/article/icd.jpg

　また、一種のDoS攻撃も可能だ。ICDには寿命が限られた使い捨て電池が使われている。が、ワイヤレスでもってICDに医療版のPing攻撃を仕掛けてICDにむやみにPingを返させることにより「6年といわれていた電池の寿命を数週間に縮めることも可能」（Tadayoshi Kohno氏）である。現在のところ、患者は電池の残りが数日、といった警告をICDから受け取れる仕組みになっておらず、また、一度電池が切れたICDは手術によって除去する必要があることを考えても、このシンプルな攻撃が及ぼす影響は大きい。

　そして「殺人も可能」とKvein Fu氏が言う攻撃は、ワイヤレスでまず、ICDのモニター機能を停止してしまい、乱脈が発生しても電気刺激を送らないようにしてしまうことである。それだけでなく、モニター機能を停止してから先に述べたテスト信号を送ると、心臓は停止したままになってしまう。

　こうした医療機器にセキュリティを施すのは、電池の大きさ以外にもいろいろ難関が多い…

【執筆：米国　笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw