研究者たちは、GE HealthCareのVivid超音波製品群に影響を与える11のセキュリティ欠陥を発見しました。これらの欠陥は、悪意のあるアクターが患者データを改ざんしたり、特定の状況下でランサムウェアをインストールすることを可能にします。Nozomi Networksによる技術報告書によると、これらの脆弱性はVivid T9超音波システムと、デバイスのlocalhostインターフェースに公開されているCommon Service Desktopウェブアプリケーション、および医師のWindowsワークステーションにインストールされたEchoPACソフトウェアに影響を与えます。これらの脆弱性を悪用するには、脅威アクターがまず病院の環境にアクセスし、デバイスと物理的にやり取りする必要があります。

最も深刻な脆弱性は、ハードコードされた資格情報の使用に関連するCVE-2024-27107（CVSSスコア：9.6）です。その他の問題には、コマンドインジェクション（CVE-2024-1628）、不必要な権限での実行（CVE-2024-27110およびCVE-2020-6977）、パストラバーサル（CVE-2024-1630およびCVE-2024-1629）、保護メカニズムの失敗（CVE-2020-6977）が含まれます。

GE HealthCareは、これらの脆弱性によってもたらされるリスクを受け入れ可能なレベルに減らす「既存の緩和策とコントロール」についてのアドバイザリを発表しました。物理的アクセスを持つ悪意のあるアクターによってデバイスが使用不能にされる可能性は低いと述べています。

この発表は、Merge DICOM Toolkit for Windows（CVE-2024-23912、CVE-2024-23913、およびCVE-2024-23914）およびSiemens SIMATIC Energy Manager（EnMPro）製品（CVE-2022-23450、CVSSスコア：10.0）におけるセキュリティ欠陥の発見に続くものです。また、IoTデバイス内に統合されたThroughTek Kalayプラットフォーム（CVE-2023-6321からCVE-2023-6324）におけるセキュリティ弱点も明らかにされました。これらの脆弱性は、2024年4月にパッチが適用され、2023年10月に責任を持って開示されました。

【ニュース解説】

研究者たちがGE HealthCareのVivid超音波製品群に存在する11のセキュリティ欠陥を発見したというニュースは、医療機器のサイバーセキュリティの重要性を改めて浮き彫りにしています。これらの脆弱性を悪用することで、悪意のあるアクターは患者データにアクセスし、改ざんすることや、ランサムウェアをインストールすることが可能になります。特に、ハードコードされた資格情報やコマンドインジェクションなどの脆弱性は、攻撃者にとって有利な突破口となり得ます。

この問題の深刻さは、医療機器が直接患者の健康に関わる情報を扱っているため、セキュリティの侵害が直接的に患者の安全とプライバシーに影響を及ぼす可能性がある点にあります。例えば、ランサムウェアによって超音波機器がロックされた場合、緊急の医療処置が必要な患者の診断が遅れることが考えられます。また、患者データの改ざんは誤診や不適切な治療につながる恐れがあります。

GE HealthCareは、これらの脆弱性に対する緩和策とコントロールを提供していると述べていますが、この問題は医療機器メーカーだけでなく、医療施設にもセキュリティ対策の強化を促すものです。物理的アクセスが必要な場合でも、病院内のセキュリティが不十分であれば、攻撃者が侵入する隙を与えかねません。

長期的な視点で見ると、このようなセキュリティの問題は、医療機器の設計段階からセキュリティを考慮に入れる必要性を示しています。また、医療施設では、定期的なセキュリティチェックとアップデートの適用を徹底することが重要です。さらに、医療機器のセキュリティに関する規制や基準の強化も求められるでしょう。

このニュースは、医療機器のサイバーセキュリティが単に技術的な問題ではなく、患者の安全と直結する重要な課題であることを改めて認識させます。今後、技術の進歩とともに、より高度なセキュリティ対策の開発と実装が求められることになるでしょう。

from Researchers Uncover 11 Security Flaws in GE HealthCare Ultrasound Machines.