医療用IoTデバイス--サイバー攻撃者の次なる標的

Eileen Yu (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2023-04-26 06:30

 ヘルスケア分野を狙うサイバー攻撃が増えつつある中、多くの医療用コネクテッドデバイスはパッチも適用されないまま、サポートの終了したOS上で稼働し続けているという。

医療機器おとネットワークのイメージ
提供:Getty Images/metamorworks

 その代表例として、入院患者が支援を必要とした際に、看護師にその旨を伝えるナースコール用のシステムを挙げることができる。世界各地に配備された30億台以上の資産を監視しているセキュリティ企業Armisのレポートによると、ナースコールシステムのうち、深刻度が緊急と評価されているCVE脆弱性(共通脆弱性識別子が割り当てられた既知の脆弱性)を抱えたままにしているシステムが3分の1強(39%)あり、それ以外の評価も含めたCVE脆弱性に対するパッチが適用されていないシステムは48%に上っていたという。これらのデータは、Armisが同社プラットフォーム上で監視している医療用コネクテッドデバイスと医療用IoTデバイス(IoMTデバイス)の分析から得られたものだ。

 Armisはこの結果に基づき、ナースコールシステムが「最もリスクの高い」IoMTデバイスだと評価している。つまり、同社が分析した医療用コネクテッドデバイスとIoMTデバイス全てのうち、深刻度が緊急と評価されたCVE脆弱性に対処していないデバイスを最も多く抱えているのがハイリスクなシステムとなってしまっているのだ。

 ナースコールシステムの次にリスクを多く抱えているのは、患者の体内に機械的、あるいは電気的に薬剤を注入する輸液ポンプであり、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているものが27%、それ以外の評価も含めたCVE脆弱性に対処していないものは約3分の1(30%)に上っていた。

 さらに医薬品の調剤システムでは、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているシステムが4%あり、それ以外の評価も含めたCVE脆弱性に対処していないシステムは86%あった。そして、調剤システムのうち3分の1弱(32%)は、サポートが終了したバージョンの「Microsoft Windows」上で実行されている。そして、医療用のコネクテッドドバイス全体で見た場合、19%がサポート終了後のOS上で実行されているという。

 次に、Armisの監視下にある、臨床環境内に設置されたIPカメラを見た場合、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているものが56%あり、それ以外の評価も含めたCVE脆弱性に対処していないものは半数超(59%)となっている。臨床環境内でその次にリスクが高いIoTデバイスはプリンターであり、深刻度が緊急と評価されている脆弱性を抱えているものは30%、それ以外の脆弱性も含めると37%となっている。そして3位はVoIPデバイスであり、深刻度が緊急と評価されている脆弱性を抱えているものは2%だが、それ以外の脆弱性を含めると53%となっている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]