医療用ＰＡＣＳの脆弱性か（GIGAZINE）: youngblood

2019/04/09

　これは、病院にとっては、洒落にならない問題でしょうね。

△

マルウェアを使ってCTスキャンやMRIの画像に「偽のガン腫瘍」を追加したり腫瘍を削除したりすることができる

GIGAZINE 2019年04月04日 23時00分セキュリティ

　（略）

　CTスキャンやMRIといった医療機器および、それらの機器で撮影した画像を別の端末に送信するためのPACSネットワークには深刻なセキュリティ上の脆弱性が存在しており、これを用いることが可能なマルウェアをイスラエルの研究者が開発しています。

　（略）

　実際にマルウェアを用いてCTスキャンの画像をいじり、ガンではない患者をガン患者にしたり、ガン患者のCT画像から腫瘍を取り除いたりする様子は、以下のムービーから確認することができます。

　（略）

　マルウェアを使った攻撃をどうやって仕掛けるのかというと、準備するのはUSBイーサネットアダプターとラズベリーパイのようなシングルボードコンピューター。これらを用意する費用はわずか40ドル(約4500円)程度です。

　ラズベリーパイにはRaspbianをインストールし、ネットワークブリッジを構築することで、端末をWi-Fiアクセスポイントとして機能するようにします。そして、ここからガン腫瘍を挿入したり削除したりできるマルウェアを実行する、というわけ。

　（略）

　わずか30秒ほどでPACSネットワークにマルウェアをインストールできるようになります。

　これでアタッカーは遠隔地からCTスキャンにアクセスできるようになります。

　（略）

　しかし、一般の人がアクセスできない病院内のシステムでは、暗号化がうまく機能していないケースがあるとのこと。

　（略）

　なお、CTスキャンやMRIの傍受を防ぐには、PACSネットワーク上でエンドツーエンドの暗号化を有効にし、すべての画像にデジタル署名を用いることがオススメされています。

▽

　各医療機器のメーカーがこの問題への対応を周知してくれるか。

　うーん、どうなんでしょう。

　また、莫大な投資がいるという話になると……。