最新動向/市場予測

米国ICS-CERTが医療用空気システムの脆弱性に関連して勧告を発出

【第60号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2018年5月24日、米国土安全保障省(DHS)が運営するICS-CERTは、BeaconMedaes製医療空気システムに関連して、「勧告(ICSMA-18-144-01)BeaconMedaes TotalAlert Scroll 医療空気システムWebアプリケーション」を発出しました。

第60号 2018.5.24公開

今回の事案では、セキュリティ研究者のマキシム・ルップ氏が、DHS傘下の国家サイバーセキュリティ通信統合センター(NCCIC)に報告したことが発端となっています。

ICS-CERTによると、影響を受ける可能性がある製品は、4107600010.23またはそれ以前のバージョンのソフトウェアで稼働するTotalAlert Scroll医療用空気システムであり、脆弱性の内容として、不適切なアクセス制御、不十分な認証情報の保護、平文でのパスワードの保存が指摘されています。攻撃者が、この脆弱性を利用して、特定のデバイスの情報およびwebアプリケーションのセットアップ情報(患者医療情報へのアクセスは含まれていない)を閲覧し、潜在的に修正する可能性があるとしています。

これに対してBeaconMedaesは、ソフトアウェアのアップデート版(4107600010.24)を開発し、製品ユーザーに対して、この版もしくは最新版にアップデートするよう推奨しています。

他方、研究者からの報告を受けたNCCICは、以下のようなリスク低減策を推奨しています。

  • すべての制御システムのデバイスおよび/またはシステムについて、ネットワークの露出を最小化し、インターネットからアクセスできないことを保証する
  • ファイアウォールの背後に制御システムネットワークとリモートデバイスを配置して、ビジネスネットワークから分離する
  • リモートアクセスが必要な時は、バーチャルプライベートネットワーク(VPN)のようなセキュアな方法を使う一方、VPNに脆弱性がある可能性上がり、利用可能な最新版にアップデートする必要があることを認識する。また、VPNが唯一、ネットワーク接続したデバイスと同様にセキュアであることを認識する

その上で、NCCICは、防御対策を導入する前に、適切なインパクト分析とリスク評価を実施するよう呼びかけています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・2018年3月、ICS-CERTが医用画像機器の脆弱性に関連する勧告を発出したケースと同様に、今回も外部からの報告が発端となっている。医療機関は、SOC(セキュリティオペレーションセンター)やCERT(コンピューター緊急対応チーム)、外部の情報共有分析組織(ISAO)と連携しながら、第三者からインシデント関連情報を受けた場合の対応体制整備を進める必要がある。

製薬メーカー/医療機器メーカー

・今回の勧告についても、第三者のホワイトハッカーからの報告が発端となっており、企業組織や業種・業界の枠を越えたホワイトハッカーとの連携活動について、議論する必要がある。。

サプライヤー

・サイバーセキュリティに関する緊急安全情報の入手ソースとして、医療以外の規制当局や第三者組織の果たす役割が大きくなっているので、情報共有・分析体制について、発注元とともに再検討する必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?