医療機器はコンピューターで制御されている。投薬ポンプやペースメーカーにMRIや核医学装置を含めた様々な医療機器に脆弱性、それのセキュリティレベルの低さを知っているだろうか?
ハッキングされる医療機器
2015年9月のMedical Devices: Pwnage and Honeypotsのプレゼンテーションが行われた。その内容が、社名の特定、機器を特定し、その医療機器に攻撃が起きた際の危険性と利用におけるダメージを報告したものだった。
1.脆弱性を持つ複数の機器を世界規模で数千の組織がインターネットに接続
インターネットに接続しているデバイスをオンラインで検索できるSHODANで検索し、医療機器を利用している組織などを調べた。12,000人のスタッフと3000人の医師を持つ医療機関のケースの場合、SMB(ファイル共有などの通信プロトコル)が開いた状態(通信可能)で、68,000のシステムをインターネットに接続していた。21の麻酔、488の循環器、133の投薬、97のMRI、323のPACS(医療用画像管理)、67の核医学機器、31のペースメーカーシステムに脆弱性が発見された。貴方が、心臓病だった場合や緊急医療行為を必要とする状態なら必ず利用する医療機器である。
2.同じ認証コードを複数の医療機器で利用
もはや論外だが事実だ。過去1年間で発見された約100台の医療デバイスの脆弱性とIDとパスワードを一覧表で紹介。
3.医療と言う極めて重要な分野であってもセキュリティは高度なものではなかった。
その開発に係る過程は最新の注意を持って取り扱われるものだが、納品された医療機器のセキュリティが高度とは言い難い。
説明書にパスワードの変更が出来ない事、パスワードを変更した場合サポートの対象外となるなどの明記があった。しかもインターネット接続可能なデバイスであれば極めて危険な状態と言える。
医療機器は、コンピューターによって精密に制御されている。しかも人体に触れて機能するものであることから、サーバー以上に安定した動作挙動そして稼働が求めらる事。それ故に、システムの下位の根幹に関わる変更は行なわない、または避ける事も理解できる。いったんエンドユーザーに導入がされれば再度セキュリティチェックをせず運用される。インターネットに接続された状態なのが問題だ。しかし、サイバー戦争の時代に入った現在としては、看過できない状態にある。このような機器はインタネットに接続せず稼働する方がまだ安全に運用できる。
しかし、インターネット接続を前提とした機器ある事もあることから、より一層難しいさを増している。
4.攻撃は既に始まっている
試しにハッキングの実情を把握しようと、医療機関で運用されている医療機器に見せかけたハニーポットを10台設置し6カ月間運用をした所、55,416件のログインの成功例、約300件のマルウェアサンプルを得る事になった。
これらの攻撃が実際の医療機器に深刻なダメージを与えるものでは無かったが、何らかの攻撃者が、攻撃対象の機器が医療機器であったと把握せず攻撃していた場合も考えられると言う。
朴槿恵大統領のIDも流出
2015年9月29日、米ハーバード大学の研究者らによれば、匿名化された個人の患者データを特定する事に成功した。
韓国の故人の2万3163件のデータを100%も医療データを非匿名データから、韓国の住民登録番号RRN(Resident Registration Number)を割り出した。
日本のマイナンバー制度の韓国版と言えるRRNは、1968年から運用が開始され度重なる大規模サイバー攻撃で最低でも約80%超える住民登録番号が流出したと考えられている。
2014年9月29日韓国政府は、新たな制度構築を模索検討中である。
因みに、韓国の住民登録番号は、13桁であり、最初の6桁は生年月日、7桁目は性別と国籍、8桁目から11桁目は、出身地を示す番号で構成されている。それは死ぬまで変更できない。
日本では2016年からマイナンバー制度が開始された。そのカードには番号が安直にも記載されているが、桁数が余りにも少なく、今後再発行などを考えれば安全性は低くなる。カードに番号記載が問題だし、受け取り時には、番号部部分が不透明なケースを配布した事で場当たり的な対応を感じる。アメリカや韓国同様に問題が噴出する事と思う。
医療データに、個人情報は含まれていないし、RRNは暗号化されていた。しかし、研究者らはRRNの暗号を解読した事で個人を特定した。
サイトSouth Korean ID system to be rebuilt from scratch
サイトResident ID system faces overhaul
IoTで記録された医療データと身体データ
犯罪集団や悪意ある第三者に限らずスパイ達に貴方の医療データが狙われている事は十分に理解されたと思う。そこで今後もIoT化する社会で懸念される事例を考えてみた。
米Healthline社が6月に行った調査では、ヘルスケアのデバイスやアプリを利用している人々の約50%が、「自分の健康データがハッカーに盗まれることを恐れている」と回答。
サイトbut Worry About Data Security
私自身Applewatchで心拍数と活動量をロギングしている。
AppleはApplewatchの販売を開始した。医療研究と手を組み心拍数や万歩計などの記録に使える事もメリットの一つとして宣伝された。ここで一つ考えてほしい、Iotが進むにつれて冷蔵庫やテレビ自動車が貴方のデータを24時間記録する用になる。そうすると食生活や運動量の基づき食事や運動不足な貴方の為にとアドバイスをするようになる。同時に貴方専用に広告が提供されるようになる。私達の情報は知らないうちに記録され個人を特定可能な情報と共に闇市場で売り買いされるようになるだろう。その情報はクレジットカードの購買情報以上に個人的な医療データを含んでいたとしたらどうだろうか。
このような情報を基にして、ピンポイントで貴方を狙った標的型メールが届くとする。そこには、○○○病の為の医療の食事改善法などと書いてあった場合にクリックする可能性は飛躍的に上がるはずだ。
IoTによって冷蔵庫の中身も消費量も分かるようになる。便利な機能だが摂取量や嗜好品の傾向も判明する。
ID情報を盗まれ成りすましに使われる。
銀行口座、ローン、国からの支援などにID情報は必要だ。現在日本でもマイナンバー制度の元番号の提出を求める機会が格段と増えた。その情報が盗まれ悪用されるケースが北米圏を中心に広がっている。この問題は日本でも今後問題になっていくと予想されるが次の機会にしようと思う。もしもID情報を盗まれた場合、どうやつて、誰かが私に成りすましている事を主張する事は困難になる。被害者と加害者で本物の事物であることを見極める事は困難を極める。何故なら加害者は、情報を書き換えてしまう為だ。
犯罪者にとって今まで変更できなかった理由は、本人の身体的情報であるDNAや身体的特徴の取得が出来ていなかった事だ。しかし、これらの問題は、IoTによって解決される可能性が高い。必要な情報は貴方の医療やヘルスケアデータの中データとして保存されているのだから、より犯罪は身近になる。
日本の医療健康データ
日本はマイナンバーと医療データが紐づいていないが今後の動向次第では分からない。
コメント