多くの病院で利用されている麻酔器と人工呼吸器で使われているネットワーキングプロトコルに脆弱性があることをセキュリティー研究者らが見つけた。悪用されると医療機器の誤動作につながる可能性もある。
医療セキュリティー会社のCyberMDXの研究者らによると、医療機器のGE AestivaおよびGE Aespireは、病院のターミナルサーバーに接続されていると、コマンド送信に利用される可能性がある。それらのコマンドは、アラームの停止や記録の改変などができるほか、悪用されると人工呼吸器や麻酔器で使用する麻酔ガスの組成を変えることもできると、研究者らは言っている。
米国土安全保障省は米国時間7月9日に勧告を発表し、この脆弱性の悪用に必要な「スキルは低い」と語った。「問題の機器は独自プロトコルを使用している」とCyberMDXの研究責任者であるElad Luz(エラッド・ルス)氏は言った。「コマンドを推測するのはごく簡単だった」。
解読されたコマンドの1つは、装置が旧バージョンのプロトコルを使用するよう強制できる(旧プロトコルは互換のために今も装置内にある)とルス氏は言う。さらに悪いことに、どのコマンドにも認証は必要ない。同氏によると「どのバージョンでも、まず一番古いプロトコルに変えるよう要求するコマンドを送り、そのあとガス組成を変える要求を送信することができる」とのこと。
「装置がターミナルサ
スポンサーリンク
病院の麻酔器と人工呼吸器に遠隔操作可能な脆弱性
IT起業ニュース
コメント