過剰投薬:世界的に普及する輸液ポンプの脆弱性を発見

医療センターへのサイバー攻撃は、サイバー脅威の最も卑劣な手段の1つです。たとえば、2020年10月28日、バーモント州バーリントンにあるバーモント大学メディカルセンターでのサイバー攻撃により、予定されていた化学療法患者の75%が拒否されました。私たちの多くには、集中的な治療を受けなければならない友人や愛する人がいます。この状況で私たちが最後に望んでいるのは、進行中のサイバー攻撃のために彼らのクリティカルケアを遅らせることです。それでも、ランサム攻撃が懸念される場合、治療を受けるプロセスがシステム全体のランサムウェアイベントよりもさらに大きな脅威だったとしたらどうでしょうか。

McAfee Enterpriseの Advanced Threat ResearchATR)チームは、Culinda社と共に調査した結果、成人および小児の医療施設で使用されるB.Braun社の医療機器「Infusomat Space Large Volume Pump」と「SpaceStation」に一連の脆弱性を発見しました。

ビデオ:B.Braun Infusomat ポンプをリモートでハッキングするデモ

これらの重大な脆弱性により、攻撃者はリモートネットワーク攻撃を実行し、注入によって患者が受け取る薬の量を変更する可能性があります。 輸液ポンプは、致死量の可能性のある薬剤を投与している間、処方されたものを正確に表示するため、この変更はデバイスの誤動作として表示され、かなりの量の薬剤が患者に投与された後、気付くことになる可能性があります。この攻撃シナリオは、既知のチェーンと、McAfee Enterprise ATRチームによって発見されたこれまで知られていなかった脆弱性によって可能になります。この攻撃の重要な要素は、ポンプのオペレーティングシステムが、誰がコマンドやデータを送信しているかを確認しないため、攻撃者が検出されずにリモート攻撃を実行できることです。脆弱性のより技術的な分析をお探しの方は、こちらから詳細なブログを確認することが可能です。


歴史と業界の洞察

1960年代から2000年まで、輸液ポンプは主にオペレーティングシステムが組み込まれた電気機械デバイスでしたが、技術の進歩に伴い、より優れた安全メカニズムとそれらをプログラムする可能性を備えた「よりスマートな」デバイスを提供し、コンピューターセキュリティの課題への備えを必要とするようになりました。今日、世界中で毎年2億回以上の点滴が行われていると推定されています。輸液ポンプ市場は、攻撃者にとって明らかに潜在的な標的です。市場の年間売上高は推定540億ドルと評価されており、2020年の米国でのIVポンプの売上高は135億ドルです。IVポンプは本質的に安全であると信頼されており、時間の経過とともに、効率的かつ正確な薬剤の注入送達の主力となっています。B.Braun社はこの急速に成長している市場における上位の市場シェアを持つ1社であり、これらの脆弱性の発見の影響を重視しています。

業界の担当者は、影響を判断するための最良の情報源になります。医療分野で20年以上の経験を持つ、レベル1外傷センターのインターベンショナルラジオロジーの研修医であるShaun Nordeck、MDは、次のように述べています。「脅威研究チームは、セキュリティと安全を重視する医療スタッフを懸念しています。患者に危害を加える可能性のある、検出されない医療機器をリモートで操作する機能は、これらの診療現場の機器を効果的に武器にしています。これは、以前はハリウッド映画で登場するようなもっともらしいシナリオですが、現在では、私たちが日常的に使用する重要な機器に対する実際の攻撃経路であることが確認されています。私たちの業界を標的にしたランサムウェア攻撃は、これらのような脆弱性に依存しています。」

これらの脆弱性は、マカフィーの責任ある開示プログラムを通じて2021年1月からB.Braun社に報告されました。進行中のダイアログを通じて、McAfee Enterprise ATRは、最新バージョンのポンプが攻撃チェーンの初期ネットワーク経路を削除することを知ることができました。それにもかかわらず、攻撃者は別のネットワークベースの脆弱性を求め、報告された残りのすべての技術と脆弱性を使用してポンプを危険にさらす可能性があります。さらに、脆弱なバージョンのソフトウェアは依然として医療施設全体に広く展開されており、悪用されるリスクがあります。包括的なパッチスイートが作成され、B.Braun社の顧客によって効果的に採用されるまで、医療施設はこれらの脅威を特別な注意を払って積極的に監視することをお勧めします。


行動のきっかけに

残念なことに、セキュリティの問題に注意を払い、起こりうる脅威の認識を維持する以外に、個人はこれらの企業レベルのリスクを防止または軽減するために多くのことを行うことはできません。ただし、幸いなことに、セキュリティ研究者は、責任ある開示を通じて、この業界をより安全な未来に向けて推進し続けています。ベンダーは脆弱性調査を採用し、消費者はそれを要求することを強くお勧めします。医療業界は、セキュリティの分野で何年にもわたって他の業界に大きく遅れをとっています。今こそ、ゆっくりと反応するパッチのデジタル「バンドエイド」を捨て、開発の初期段階からのセキュリティファーストの考え方と、迅速で効果的なパッチソリューションを組み合わせて、全体的な「治療」を取り入れるときなのです。

Braun Medical Inc の声明

2021年5月、B.Braun Medical Inc.は、当社のレポートで提起された古いバージョンのB.Braunソフトウェアを使用する少数のデバイスに関連する潜在的な脆弱性に対処する情報を顧客とHealth Information Sharing & Analysis Center(H-ISAC)に開示しました。私たちの開示には、重大な脆弱性を排除するパッチを受け取るために必要な指示を含む、影響を受けた顧客のための明確な緩和手順が含まれていました。

なお、Braunは、顧客環境におけるこれらの脆弱性に関連する悪用またはインシデントの報告を受け取っていません。

※本ページの内容は2021年8月24日22時(日本時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文:Overmedicated: Breaking the Security Barrier of a Globally Deployed Infusion Pump 
著者: and