悪党は、脆弱なメドトロニックのインスリンポンプを無線でプログラムし、糖尿病患者を殺害できる ― 安全でないキットがリコールされる

Table of Contents

悪党は、脆弱なメドトロニックのインスリンポンプを無線でプログラムし、糖尿病患者を殺害できる ― 安全でないキットがリコールされる

健康インプラントメーカーのメドトロニックは、無線経由で機器を乗っ取られる恐れのあるセキュリティ上の脆弱性が機器に見つかったことを受け、インスリンポンプの一部をリコールしている。

具体的には、メーカーはMiniMed 508とParadigmのインスリンポンプに加え、CareLink USBコントロールハブ、およびこれらのリスクのある機器と併用されていた一部の血糖値測定機器をリコールしています。米国の医薬品監督機関であるFDAも今週、これらの脆弱性について警告を発しました。これらの脆弱性は、近くのハッカーがポンプにコマンドを実行するために悪用される可能性があります。

これらのコマンドは、例えば、ポンプにインスリンを過剰に注入するよう指示し、患者を低血糖に陥らせ、失神させたり発作を起こさせたり、逆にインスリンを過少に注入するよう指示し、重篤な生命を脅かすケトアシドーシスを発症させたりする可能性があります。レンチで頭を殴れば殺せるので、これはすぐそばにいる人を殺せる奇妙な方法ですが、実際にはどうなるかは分かりません。

心臓発作は起こらないが、埋め込まれた除細動器が無線経由でハッキングされる可能性がある(本当にあなたを殺したい人によって)

続きを読む

メドトロニック社は、リコールは自主的なもので、ポンプを送付した患者には交換品として、CVE-2019-10964と呼ばれる脆弱性の影響を受けない新型MiniMed 670Gモデルを提供していると発表しました。何らかの理由で新しいポンプを入手できない患者は、ポンプをメドトロニック社製以外の機器に接続せず、使用していない時はCareLink USBデバイスを取り外してください。

「FDAは、権限のない人物(患者、患者の介護者、医療提供者以外の人物)が、サイバーセキュリティの脆弱性を持つ近くのミニメッド製インスリンポンプに無線で接続する可能性があることを認識した」とFDAは今回の欠陥について述べた。

「この人物は、ポンプの設定を変更して、患者にインスリンを過剰に投与して低血糖(低血糖症)を引き起こしたり、インスリンの投与を停止して高血糖や糖尿病性ケトアシドーシスを引き起こしたりする可能性がある。」

セキュリティ研究者のビリー・リオス氏、ジョナサン・バッツ氏、ジェシー・ヤング氏は、脆弱なMiniMedポンプとそのCareLinkコントローラーデバイス間で使用されている無線通信が安全ではないことを発見しました。ポンプに物理的に十分近い場所にいる攻撃者は、CareLinkユニットになりすまし、ソフトウェア無線などのキットを使用して、生命を脅かす可能性のあるコマンドを無線でインスリンポンプに送信する可能性があります。

「これらの脆弱性は無線機能に影響します」とリオス氏はThe Registerに語った。「これらの端末はカスタム無線プロトコルを使用しており、ソフトウェア無線を通じて脆弱性が悪用されたのです。」

この研究は、伝説的な情報セキュリティの第一人者、バーナビー・ジャック氏が2011年に初めて概説した概念に基づいています。

2013 年の Black Hat セキュリティ カンファレンスの直前に亡くなったジャックは、ナサニエル ポールやジェイ ラドクリフなど、バグ ハンターの最初のグループの一員で、メドトロニックなどの医療用インプラントが安全でない無線チャネルを使用して患者のデータやコマンドを送受信し、悪意のある人物が傍受して独自の指示をデバイスに注入して、潜在的に壊滅的な結果をもたらす可能性があることを説明した人物です。®

Discover More