CTスキャンを受けているときにマルウェアが放射線レベルを変化させると想像してみてください。それは可能です

昨年5月のWannaCryサイバー攻撃の記憶が薄れつつある中、医療業界と英国のNHSは依然として学習の真っ最中だ。

英国会計検査院（NAO）の10月の報告書（PDF）によると、イングランドとウェールズの81のNHSトラスト、603のプライマリケア機関、595の一般開業医診療所がマルウェアに感染し、他の多くの診療所は封鎖され、患者データにアクセスできない状態となっている。

WannaCryの被害は、スタッフをWindowsコンピュータから締め出すことだった。これは、古いツールにパッチを適用しないことが重大な結果を招くという教訓を得るには、最悪のケースだった。しかし、もう一つ、あまり知られていない発見があった。磁気共鳴画像（MRI）、コンピュータ断層撮影（CT）スキャナー、デジタル画像通信（DICOM）ワークステーションといった医用画像装置（MID）が深刻な混乱に陥り、他のシステムが復旧した後も、病院のワークフローに深刻な連鎖反応が生じたのだ。

今日のNHS（国民保健サービス）や医療全般において、MIDの重要性は、その数に比して不釣り合いなほど高まっています。病院によっては、大量の疾患、がん、術前・術後の診断に対応するために、MIDを6台程度しか必要としていないところもあります。「MIDなしの生活は想像しがたい」と、匿名を希望する病院コンサルタントはThe Register紙に語りました。

小型CTスキャナーで15万ポンド、最新型のMRI設計で数百万ポンドと、費用は様々で、防御が困難であることが判明しています。NHSの多くのシステムは、脆弱なWindows XPまたはWindows 7搭載PCから実行されるアプリケーションによって制御されており、Windows XPまたはWindows 7搭載PCはWannaCryにブルースクリーンで反応し、意図しないサービス拒否攻撃を引き起こします。

NAOは、「これらの機器は通常、システムベンダーによって管理されており、地方自治体は自らアップデートを適用する能力がありません」と指摘しています。英国の医療分野のセキュリティ担当者であるNHS Digitalは、メーカーのサポートが不十分な場合が多く、画像データへのアクセスを不可能にする方法でスキャナーを内部ネットワークから分離する以外に、自治体には防御策がほとんどないことをNAOに確認しました。

スキャン拒否

誰もが知る限り、WannaCryの開発者は意図せずしてこれらすべてを実行した。もし彼らが病院を襲撃したり、MIDを意図的に攻撃しようとしていたとしたらどうだろうか？その可能性は驚くほど過小評価されていたことが判明した。

米国のIoTセキュリティ企業ZingBoxの共同創業者兼CTOであるメイ・ワン氏にとって、医療分野に対する概念実証攻撃は2017年のWannaCryではなく、2008年のConfickerだった。

「あまり耳にしませんが、コンフィッカーの影響は実際にはもっと大きいのです」とワン氏は言う。「しかし、誰もが報告しているわけではないので、世間への影響はそれほど大きくないのです。」

驚くべきことだ。シェフィールドの教育病院の PC 800 台を含む世界中の病院が感染してからほぼ 10 年が経過したが、旧バージョンの Windows の脆弱性を狙ったワームは、いまだに医療の To​​Do リストに載っているのだ。

ZingBoxは、米国の50の病院における医療機器のセキュリティを調査した結果、予想通り、MIDが高リスクのセキュリティ問題の半数を占めていることを発見しました。その根本的な原因とは？これらのシステムのほぼすべてがWindowsワークステーションで制御されており、その多くはXP、さらには98まで遡る欠陥だらけのバージョンで、スキャンハードウェアの古さを反映しています。

「本格的な OS を使用しているため、ブラウザを使用したり、アプリケーションをダウンロードしたり、X 線装置を制御する OS では実行できないはずの多くの操作を実行したりできます。」

少なくとも米国では、病院は VLAN 上で MID を部分的に分離しようとすることがよくありますが、この戦略は、同じネットワーク セグメントに接続されるデバイスが増えるにつれて急速に効果が低下します。

ZingBox は、VLAN 上のデバイスのうち医療関連のものは 4 分の 1 のみであり、残りは PC、プリンター、モバイル デバイスで構成されており、これらはすべて、MID ワークステーションに到達するための中継地点として使用される可能性のあるマルウェアに対して脆弱であることを発見しました。

ワン氏によると、この状況をさらに悪化させているのは、IoT対応の医療機器がバイオメディカルITスタッフの対応能力を上回るペースで増加していることです。多くの場合、病院はこれらの機器の監査すら行っておらず、保護など到底不可能な状況になっています。

救急車の追跡

ZingBox と同じ脆弱性に気づいたイスラエルのベングリオン・ネゲブ大学の研究者たちは、MID が標的型マルウェアによって直接攻撃される可能性があるという予感をテストすることにしました。

研究チームの予備調査結果は2月に発表された報告書（PDF）で、CTスキャナーが最大のリスクであると特定されました。CTスキャナーは患者を一定量の放射線に曝露しますが、その設定はワークステーションアプリケーションからパラメータを設定する設定ファイルによって制御されます。

EternalBlueのエクスプロイトは4月に漏洩し、攻撃は5月に発生しました。Microsoftはエクスプロイトが漏洩する前の3月に重要なセキュリティアップデートをリリースしましたが、それでも攻撃を阻止するには不十分でした。

「このファイルは基本的に、モーターを動かす方法、継続時間、放射線レベルなど、スキャンを正確に実行する方法を伝えるために制御ユニットがCTに与える指示のリストです」と、報告書の主執筆者の1人であるトム・マーラー氏は述べている。

これらのファイルを操作することで、攻撃者はCTの動作を正確に制御できる可能性があります。これは非常に危険であり、放射線の過剰摂取、傷害、そして場合によっては死に至る可能性があります。

あるいは、攻撃者がスキャン結果を混同し、「患者に不当な扱いをさせたり、逆に患者に不当な扱いをさせたり」する可能性もあります。どちらの例でも、CT検査技師は必ずしも何かがおかしいことに気付くとは限りません。

さまざまなメーカーの MID がカスタム スキャン アプリケーションを使用しているものの、これらのいずれかに対する攻撃をカスタマイズすることは難しくないと Mahler 氏は断言しています。

マーラー氏と、バイオインフォマティクスの専門家であるユヴァル・シャハル教授、サイバーセキュリティの専門家であるユヴァル・エロビシ教授、上級研究員のエレズ・シャローム博士は、シミュレーション環境でMIDに対する23種類の概念実証攻撃をテストした後、2018年にセキュリティ会議でデモを行うことを約束した。

この研究は WannaCry より前のものですが、このマルウェアの出現は、MID や医療機器全般の保護が脆弱であることを示す大きな兆候となりました。

この攻撃は、サイバー攻撃がいかに急速に発展するかを実証しました。EternalBlueのエクスプロイトは4月に漏洩し、攻撃は5月に発生しました。マイクロソフトは、エクスプロイトが漏洩する前の3月に重要なセキュリティアップデートをリリースしていましたが、それでも攻撃を阻止するには不十分でした。

さらに、この研究はイスラエル最大のヘルスケア提供会社 Clalit Health Services と共同で実施された。同社の画像情報科学部門の責任者である Arnon Makori 博士は、WannaCry はむしろ過小評価されていると考えている。

「これは医療業界全体にとって世界的な警鐘となった。影響は報告されていたよりもはるかに大きく、さらに多くの機器やシステムが影響を受けたと私は考えている」と、同氏はザ・レジスター紙に語った。

マコリ氏は、「製造会社の認識不足、保守的なオペレーティングシステムとデバイスのアーキテクチャ、費用対効果の考慮」が原因だとし、これは「全く新しいサイバーセキュリティ戦略」でのみ解決できるだろうとしている。

IoTの導入

リスクは MID に限定されず、最近の ZingBox の調査では、患者のベッドサイドで液体を投与するために使用されている、広く普及している医療機器である IoT 対応の輸液ポンプのあるブランドの設計に、多数のセキュリティホールがあることが明らかになっています。

任意に変更できるハードコードされた認証情報、粗雑な暗号化、デバイスがロックされたことを説明する身代金メッセージを送る機能など、ありとあらゆるものが存在します。

つまり、医療セキュリティについて語るとき、私たちは主に情報漏洩について話していることになります。そして、ZingBoxによると、この特定の分野では、実際には生死、手術の中断、そして患者の安全に関わる問題なのです。

王氏とマーラー氏が明らかにしたのは、発電所のSCADAの脆弱性をめぐるパニックに似たものだが、それよりもさらにひどい。

「医療機器は非常に価値があります。人のファイルを人質に取ろうとすると、面倒なことになります。人の命を人質に取れば、おそらく望むだけの金額が手に入るでしょう」とマーラー氏は言います。®