米国FDAが遺伝子解析用次世代シーケンサー付属ソフトウェアの脆弱性について注意喚起 ブックマークが追加されました
最新動向/市場予測
米国FDAが遺伝子解析用次世代シーケンサー付属ソフトウェアの脆弱性について注意喚起
【第180号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
2023年4月27日、米国食品医薬品局(FDA)は、研究職や医療機関向けに、イルミナ製次世代シーケンサー機器のユニバーサルコピーサービス(UCS)ソフトウェアに影響を及ぼすサイバーセキュリティ脆弱性に関する文書を発出しました。
第180号 2023.5.23公開
FDAによると、脆弱性の影響を受ける可能性がある機器は、「MiSeqDx」、「NextSeq 550Dx」、「iScan」、「iSeq 100」、「MiniSeq」、「MiSeq」、「NextSeq 500」、「NextSeq 550」、「NextSeq 1000/2000」、「NovaSeq 6000」であり、様々な遺伝的状態にある個人のDNAをシーケンス解析する際の臨床診断利用向け検査用途、または研究目的のみ(RUD)の用途である可能性があるとしています。
FDAは、以下のような形で、権限のないユーザーがサイバーセキュリティ脆弱性を悪用することが可能だとしています。
- 遠隔で機器をコントロールする
- 機器または顧客のネットワーク上で設定、構成、ソフトウェア、データを変更する
- 臨床診断を意図した機器における遺伝子データ検査結果に影響を及ぼす(機器に結果を出さない、不正確な結果、変更された結果、潜在的なデータ侵害など)
これに先立ちイルミナは、2023年4月5日、影響を受ける顧客に対して、潜在的な脆弱性の悪用の兆候がないか各自の装置や医療機器をチュエックするよう指示する通知書を送付していました。同社は、脆弱性の悪用に対する保護のために、ソフトウェアのパッチを開発したとしています。FDAが今回の文書を発出した時点で、FDA、イルミナのいずれも、この脆弱性の悪用を示すような報告を受けていないとしています。
なおイルミナは、今回FDAが公表した脆弱性について、同時にサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)にも報告しており、同庁から別途脆弱性情報が公表されています。過去には、2022年6月2日、FDAとCISAが、イルミナ製次世代シーケンサー機器のLocal Run Manager(LRM)ソフトウェアの脆弱性に関連して、注意喚起を行っています。
当該記事が関係機関に及ぼすと考えられる影響
医療機関
・本事案は、過去に脆弱性が発見された次世代シーケンサー搭載ソフトウェアとは別個の同載ソフトウェアで脆弱性が発見されたケースである。医療機関は、セキュリティ脆弱性対応策が、院内のSOC(セキュリティオペレーションセンター)やCERT(コンピューター緊急対応チーム)、医療機器メーカーの製品セキュリティインシデント対応センター(PCIRT)、外部の情報共有分析組織(ISAO)などと連携しながら、継続的なモニタリング体制を強化する必要がある。
医療機器メーカー/医療品メーカー
・日本国内でも、IMDRFサイバーセキュリティ原則に準拠したガイダンスの遵守体制構築が必要に迫られており、実際に製品を利用する医療施設や研究機関との間で、平時および緊急時のリスクコミュニケーションを継続的に行う仕組みの構築・維持が要求される。
サプライヤー
・医療施設や研究機関の臨床研究・遺伝子解析研究業務向けにIT製品・サービスを提供するサプライヤーは、自社ソリューションと連携する各機器および同載ソフトウェアの脆弱性情報について、組織の枠を越えた情報共有・分析体制を構築し、迅速にインシデントに対応できるよう改善しておく必要がある。
関連記事 [外部サイト]
- U.S. Food and Drug Administration (FDA)「Illumina Cybersecurity Vulnerability Affecting the Universal Copy Service Software May Present Risks for Patient Results and Customer Networks: Letter to Health Care Providers」(2023年4月27日)
- Cybersecurity and Infrastructure Security Agency (CISA)「ICSMA-23-117-01: Illumina Universal Copy Service」(2023年4月27日)
- U.S. Food and Drug Administration (FDA)「Illumina Cybersecurity Vulnerability May Present Risks for Patient Results and Customer Networks: Letter to Health Care Providers」(2022年6月2日)
- Cybersecurity and Infrastructure Security Agency (CISA)「ICS Advisory (ICSA-22-153-02) Illumina Local Run Manager」(2022年6月2日)
本ニュースでは海外で公表された資料の内容の一部を日本語に翻訳しています。デロイト トーマツでコメントを加筆している箇所を除き、内容および解釈について日本語版と英語版に齟齬がある場合は、関連記事リンク先の原文を優先します。
ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース
デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)
サイバーリスクサービスのお問い合わせ
サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。
