セキュリティ研究者らは、病院のネットワークの脆弱性を悪用し、重要な医療機器にアクセスして改ざんする攻撃を仕掛け、人命を危険にさらす可能性があるとしている。
テストでは、独立セキュリティ評価研究チームの病院ハッカーが患者モニターを破壊し、患者を傷つけたり死亡させたりする医療処置につながる可能性のある誤った数値を表示させた。
同様の攻撃により、他の重要な医療機器にもアクセスできる可能性があるという。
チームは、12 の医療施設、2 つのデータ センター、2 つの稼働中の医療機器、および深刻な侵害をもたらすリモート攻撃に対して脆弱ないくつかの Web アプリケーションを調査しました。
ヘルスケア部門の責任者であるジェフ・ジェントリー氏が主導したこの研究は、この論文「病院の安全確保」 [PDF]にまとめられています。
「切断されたネットワークセグメントで、私たちのチームは認証バイパス攻撃を実証し、問題の患者モニターにアクセスし、誤報を鳴らしたり、患者のバイタルサインを不正確に表示したり、アラームを無効にしたりするなど、さまざまな破壊的なタスクを実行するよう指示しました」と研究チームは論文の中で述べている。
「この攻撃はあらゆる医療機器に対して可能だっただろう…おそらく医療行為を妨害し、患者の死亡や重傷につながるだろう。」
「攻撃のシナリオは悲惨だ。綿密に実行されれば多くの人命が危険にさらされる可能性があり、この問題が他の病院にも波及するとさらに憂慮される。」
そのような性質の無差別攻撃が実行可能であることは「非常に明らか」だと彼らは言う。
71ページに及ぶこの文書は、医療ハッキングの分野における最新かつ最も包括的な研究成果の一つであり、ハッキングコミュニティの多くの人々が知っている病院のセキュリティの現状の暗い姿を描き出している。
おそらく、患者の医療に対する初の詳細な公開攻撃モデル。画像:独立セキュリティ評価者
電子医療記録は、基本的なクロスサイトスクリプティング攻撃によって盗まれる可能性があります。その攻撃では、権限のない看護師や医師をターゲットにしたペイロードが実行されると、攻撃者にゴッドモードの管理者アクセス権が付与されます。
USBドライブを餌として使うという長年の罠も効果的だ。チームは、ナースステーションで実行されるマルウェアを仕込んだ18本の棒を病院周辺に置いた。ナースステーションの端末は、ログインした看護師や医師の認証情報が収集可能なため、攻撃者にとって金鉱となっている。
ハッカーたちは、ごく普通のUSBスティックを使って病院の薬剤調剤サービスに侵入したと主張している。この作業中の技術によって、ハッカーたちは在庫を操作する能力を手に入れた可能性がある。
「この薬が患者に投与されると、患者に害を及ぼしたり、死に至らしめたりする可能性が高い」とハッカーらは述べた。
物理的なオンサイト攻撃者にとって、露出したハードウェアデバイスのポートや病室で稼働しているオープンなコンピュータは、まさに魅力的な攻撃対象領域を秘めた、まさにお菓子屋のような存在です。こうしたセキュリティ上の欠陥の多くは、業務プロセスの不備、あるいは不在に起因しています。
「調査結果は、業界が混乱状態にあることを示している。経営陣のサポート不足、人材不足、テクノロジーの不適切な導入、敵対者に対する理解の時代遅れ、リーダーシップの欠如、コンプライアンスへの誤った依存などだ」と研究チームは述べた。
「(これは)私たちの最大の懸念を如実に表しています。患者の健康は依然として極めて脆弱な状態にあります。私たちの調査で明らかになった包括的な事実の一つは、業界は患者の健康記録の保護にほぼ専念しており、サイバー脅威の観点から患者の健康への脅威やその保護にほとんど取り組んでいないということです。」
病院の情報セキュリティには「大幅に」資金が不足しており、あらゆるレベルでトレーニングに欠陥があり、ネットワークは安全ではなく、ポリシーと監査はほとんど存在せず、あったとしてもせいぜい欠陥がある。
研究者らによると、施設には不適切であるだけでなく実装も不十分なベンダーのセキュリティキットが備え付けられており、脆弱性が蔓延していたり、欠陥だらけの社内技術と並行して運用されていたりしたという。
この不安の「霧」により、特定の問題の根本原因や増幅要因を正確に特定することが困難になります。
「すべての病院において、資金不足、人員不足、研修不足、方針の欠如、ネットワークへの意識不足など、甚大な業務上の欠陥が見つかりました」と研究者のテッド・ハリントン氏は述べている。「これらの脆弱性は、組織的な業務上の失敗の結果です。」
チームは、特定された問題を解決するための詳細なアドバイスを提供します。
これは、病院のハッキングを企むスコット・アーベンとマーク・コラオが、磁気共鳴画像装置や核医学装置など、数千もの重要な医療システムをオンライン上に無防備な状態で発見してから6カ月後のことだ。
その調査では、ある「非常に大規模な」米国の医療機関(名前は伏せられている)が、麻酔科21件、心臓病科488件、核医学科67件、輸液システム133件、ペースメーカー31件、MRIスキャナー97台、画像アーカイブおよび通信システム323件を含む約68,000の医療システムを危険にさらした。®
