最新動向/市場予測

米国ICS-CERTが医用画像機器の脆弱性に関連して勧告を発出

【第55号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年3月13日、米国土安全保障省(DHS)が運営するICS-CERTは、GEの医療機器に関連して、「勧告(ICMSA-18-037-02)GE医療機器の脆弱性」を発出しました。

第55号 2018.3.13公開

独立系のサイバーセキュリティ研究者が、複数のGEヘルスケア製品について、デフォルトまたはハードコードされた資格証明書の潜在的利用に関する情報を提出したのを受けて、GEは自己評価を実施し、複数のGEヘルスケア製品に、デフォルトまたはハードコードされた資格証明書を使用していることを確認しました。GEは、製品文書の中で研究者が特定したパスワード変更機能に対するレビューを実施して、ユーザーがパスワードを変更する際、支援のためにGEサービスにコンタクトするよう奨励しています。なお、今回の勧告の対象製品としてのICS-CERTが例示したものは、以下の通りです。

・医用画像システム「Optima 520」の全バージョン
・医用画像システム「Optima 540」の全バージョン
・医用画像システム「Optima 640」の全バージョン
・医用画像システム「Optima 680」の全バージョン
・放射線医用画像システム「Discovery NM530c」の Version 1.003以前のバージョン
・乳腺画像システム「Discovery NM750b」のVersion 2.003以前のバージョン
・デジタル放射線画像システム「Discovery XR656」および「Discovery XR656 Plus」の全バージョン
・医用画像システム「Revolution XQ/i」の全バージョン
・静止診断放射線・透視X線システム「THUNIS-800+」の全バージョン
・医用画像保管通信システム支援向け「Centricity PACS Server」の全バージョン
・診断画像分析向け「Centricity PACS RA1000」の全バージョン
・統合型Webベース医用画像システム「Centricity PACS-IW」のVersion 3.7.3.7およびVersion 3.7.3.8を含む全バージョン
・データ管理ソフトウェア「Centricity DMS」の全バージョン
・放射線医用画像システム「Discovery VH / Millenium VG」の全バージョン
・医用画像表示保管通信向け放射線医療ワークステーション「eNTEGRA 2.0/2.5 Processing and Review Workstation」の全バーション
・医用画像ソフトウェア「CADstream」の全バーション
・医用画像システム「Optima MR360」の全バーション,
・「GEMNet License server (EchoServer)」の全バーション
・「Image Vault 3.x」の全バージョン
・医用画像システム「Infinia / Infinia with Hawkeye 4 / 1」の全バージョン
・放射線医用画像システム「Millenium MG / Millenium NC / Millenium MyoSIGHT」の全バージョン
・医用画像システム「Precision MP/i」の全バージョン
・医用画像ワークステーション「Xeleris 1.0 / 1.1 / 2.1 / 3.0 / 3.1」の全バージョン

ICS-CERTは、この脆弱性をうまく利用すると、遠隔からの攻撃者が認証をすり抜けて、影響を受ける機器にアクセスする可能性があると指摘しています。また、個々の組織への影響に関して、国家サイバーセキュリティ・通信総合センター(NCCIC)は、組織固有の要因に大きく依存することから、業務環境および特定の臨床用途に基づき、この脆弱性の影響度を評価するよう推奨しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・従来、医療機器の市販後安全対策に関する主要な情報源は米国食品医薬品局(FDA)であったが、サイバーセキュリティに関連する勧告、注意喚起などは、国土安全保障省(DHS)傘下のUS-CERT(情報セキュリティを所管)やICS-CERT(制御セキュリティを所管)から発出されるケースが急増している。医療機関は、SOC(セキュリティオペレーションセンター)やCERT(コンピューター緊急対応チーム)、外部の情報共有分析組織(ISAO)と連携しながら、情報収集の対象を拡大すると同時に対応策の優先順位付けを行う必要がある。

医療機器メーカー/製薬メーカー

・今回の勧告については、高度な専門性を有する第三者のホワイトハッカーからの報告が発端となった。米国の政府機関や民間企業の間では、ホワイトハッカーと連携しながらサイバーセキュリティ対策を強化する動きが顕在化しており、医療分野のメーカーでも、同様の取組を検討する必要がある。

サプライヤー

・医療機器の承認や市販後対策に関わる規制当局、取引先のメーカー、臨床現場で利用する医療機関など従来のチャネルとは異なるルート経由で、サイバーセキュリティに関する緊急安全情報を入手するケースが増えることが想定されるので、内外との情報共有・分析体制を再検討する必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?