ペースメーカー停止の恐れも　「医療IoTセキュリティ」を無視できない理由：医療IoTのリスクと対策【前編】

インターネット接続が可能な医療機器は進歩を続けている。普及するほどサイバー攻撃者に狙われるリスクも増す。医療IoTを標的とした侵害事例を振り返り、医療IoTセキュリティの重要性を理解する。

≫ 2020年10月21日 05時00分公開

患者の命を左右する医療IoTセキュリティ

　過去の大きなセキュリティ侵害事件からも、医療機関を標的とするサイバー攻撃の増加が深刻な問題になっていることは明らかだ。そのため医療機関や医療機器メーカー、規制当局は、IoTデバイスのセキュリティを重視せざるを得なくなっている。

　2016年にはセキュリティ調査会社MedSecと投資調査会社Muddy Watersが、医療機器メーカーSt. Jude Medical製（注1）の循環器疾患用デバイス（埋め込み型ペースメーカーおよび除細動器のリモート監視システム）に潜む脆弱（ぜいじゃく）性を特定した。この脆弱性を悪用すると、攻撃者は医療機器のバッテリーがなくなるまで繰り返しメッセージを送信できる。

※注1：St. Jude Medicalは2017年に同業のAbbott Laboratoriesに買収されている。

　研究者は「この脆弱性によって、St. Jude Medical製のペースメーカーや除細動器は機能しなくなる恐れがある」と指摘した。この議論を巻き起こした脆弱性の取り扱いによって、米国の食品医薬品局（FDA）はサイバーセキュリティと医療機器全般に関する指針を発表することとなった。

併せて読みたいお薦め記事

医療のIoT（モノのインターネット）とセキュリティ対策

医療機関のセキュリティ製品選び

　2018年開催のセキュリティカンファレンス「Black Hat USA 2018」では、さまざまな研究者が医療分野のIoTデバイスに潜む重大な危険性を明らかにした。例えばセキュリティ会社WhiteScopeを設立したビリー・リオス氏と、同業のQED Secure SolutionsでCEOを務めるジョナサン・バッツ氏は、攻撃者がどのように医療機器メーカーMedtronic製のペースメーカーにリモートアクセスし、患者の心臓への電気刺激を管理したり、保留したりできることをBlack Hatで実演していた。

　ランサムウェア（身代金攻撃型マルウェア）の「WannaCry」は、医療システムを標的にした有名なマルウェアの一つで、2017年に初めて見つかった。ハッカーはWannaCryを使用して「Windows」の脆弱性を標的にし、マルウェアを感染させたデバイスに医療従事者がアクセスできないようにした。

　医療機器メーカーやセキュリティ担当者が医療分野におけるIoTデバイスのセキュリティ強化に取り組まざるを得なくなった要因は、サイバー攻撃だけではない。FDAは医療機器メーカーを対象として、医療分野におけるIoTデバイスのセキュリティ設計および維持に関するサイバーセキュリティ勧告を、2016年と2018年に発出している。Healthtrust Purchasing GroupやMayo Clinicといった医療機関も、医療機器をメーカーから購入する際の独自の調達要件を確立している。このような要件によって医療機器メーカーは、自社製品にセキュリティ機能を組み込むようになった。

　「ダメージの回復に掛かるコストは、ダメージを防ぐのに必要なコストをはるかに上回る」。デジタル証明書の認証局を運営するDigiCertでIoTセキュリティ部門のバイスプレジデントを務めるマイク・ネルソン氏はこう語る。

　中編は医療IoTのリスクの中でも特に重大な「患者の安全」に焦点を当て、解説する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップ医療IT