ヘルスケア分野を狙うサイバー攻撃が増えつつある中、多くの医療用コネクテッドデバイスはパッチも適用されないまま、サポートの終了したOS上で稼働し続けているという。
提供:Getty Images/metamorworks
その代表例として、入院患者が支援を必要とした際に、看護師にその旨を伝えるナースコール用のシステムを挙げることができる。世界各地に配備された30億台以上の資産を監視しているセキュリティ企業Armisのレポートによると、ナースコールシステムのうち、深刻度が緊急と評価されているCVE脆弱性(共通脆弱性識別子が割り当てられた既知の脆弱性)を抱えたままにしているシステムが3分の1強(39%)あり、それ以外の評価も含めたCVE脆弱性に対するパッチが適用されていないシステムは48%に上っていたという。これらのデータは、Armisが同社プラットフォーム上で監視している医療用コネクテッドデバイスと医療用IoTデバイス(IoMTデバイス)の分析から得られたものだ。
Armisはこの結果に基づき、ナースコールシステムが「最もリスクの高い」IoMTデバイスだと評価している。つまり、同社が分析した医療用コネクテッドデバイスとIoMTデバイス全てのうち、深刻度が緊急と評価されたCVE脆弱性に対処していないデバイスを最も多く抱えているのがハイリスクなシステムとなってしまっているのだ。
ナースコールシステムの次にリスクを多く抱えているのは、患者の体内に機械的、あるいは電気的に薬剤を注入する輸液ポンプであり、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているものが27%、それ以外の評価も含めたCVE脆弱性に対処していないものは約3分の1(30%)に上っていた。
さらに医薬品の調剤システムでは、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているシステムが4%あり、それ以外の評価も含めたCVE脆弱性に対処していないシステムは86%あった。そして、調剤システムのうち3分の1弱(32%)は、サポートが終了したバージョンの「Microsoft Windows」上で実行されている。そして、医療用のコネクテッドドバイス全体で見た場合、19%がサポート終了後のOS上で実行されているという。
次に、Armisの監視下にある、臨床環境内に設置されたIPカメラを見た場合、深刻度が緊急と評価されているCVE脆弱性を抱えたままにしているものが56%あり、それ以外の評価も含めたCVE脆弱性に対処していないものは半数超(59%)となっている。臨床環境内でその次にリスクが高いIoTデバイスはプリンターであり、深刻度が緊急と評価されている脆弱性を抱えているものは30%、それ以外の脆弱性も含めると37%となっている。そして3位はVoIPデバイスであり、深刻度が緊急と評価されている脆弱性を抱えているものは2%だが、それ以外の脆弱性を含めると53%となっている。