最新動向/市場予測

米国のセキュリティ研究者が医用画像規格DICOMの脆弱性を指摘

【第82号】ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

2019年4月16日、米国ニューヨークの医療機器サイバーセキュリティ企業Cyleraのセキュリティ研究者であるメルケル・ピカド・オルティス氏は、「HIPAAに保護されたマルウェア? DICOMフローをCT/MRI画像に組込まれたマルウェアに利用する」と題する報告書を公表しました。DICOMは、医用画像の画像フォーマットおよび通信プロトコルを定めた国際標準規格です。

第82号 2019.5.7公開

報告書によると、DICOM画像フォーマットに脆弱性があり、ハッカーは、悪意のあるコードを画像ファイルに直接インストールして、患者データを感染させることが可能であるとしています。これらのファイルは、完全に実行可能なマルウェア・バイナリまたは完全に機能する標準規格準拠のDICOM画像であり、オリジナルの患者データを保存して、臨床医が感染に気付かないまま利用する可能性があるとしています。

そして、保護対象保健情報(PHI)マルウェアと混合することによって、検知を回避し、救済策の試みを逸脱させる一方、セキュリティチームや医療組織、プロセスに関わるウイルス対策企業に新たな懸念をもたらす場ができつつあるとしています。

オーティス氏は、今回のDICOMフローについて、単一のソフトウェア・パッチやDOCOM規格の修正で解決できる脆弱性ではないとして、医療組織に対して、ネットワークおよびホストのレベルで、DICOMファイルを検知するための基本的なメカニズムを導入して、検知したファイルを適切に処理するツールやプロセスを議論することを推奨しています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・コンピューター断層撮影装置(CT)、 磁気共鳴診断装置(MRI)などの医用画像機器を、医用画像保存通信システム(PACS)や放射線情報システム(RIS)と連携して使用する医療機関は、DICOMに係る脆弱性を検知・修正する技術的対策ツールを早急に導入すると同時に、ツール導入・運用に係るプロセスを効率化する仕組みを検討する必要がある。
 

医療品メーカー/医療機器メーカー

・医療機関向けに、CT、 MRIなどの医用画像機器を開発・提供するメーカーは、PACS、RISなど、臨床検査部門/放射線科システムの開発・運用責任者と連携しながら、DICOMの脆弱性に関するリスク評価を実施し、その影響度やセキュリティ対策に関する責任分界点などを明確化した上で、具体的なリスク低減策を講じる必要がある。
 

サプライヤー

・PACS、RISなど、臨床検査部門/放射線科システムの開発・運用に係る製品・サービスを提供するサプライヤーは、医療機関およびCT、 MRIなどの医用画像機器メーカーのセキュリティ/プライバシーの要求事項を確認した上で、DICOMの脆弱性がサプライチェーンにもたらすリスクを評価し、サイバーサプライチェーン・リスクマネジメント体制の見直し・改善を行う必要がある。

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ リスクサービス株式会社のサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。(不定期刊行)

>>過去記事のアーカイブから他の記事を見る 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<

お役に立ちましたか?