医療機器の情報セキュリティ ～医療機器にもウイルス感染・ハッキングの事例 その現状と対策～

2014年5月16日（金） 独立行政法人情報処理推進機構（IPA）

セキュリティセンター 情報セキュリティ技術ラボラトリー 主任

中野 学 （博士（情報学））

第11回 セキュリティEXPO（春）

組込み機器の今昔～繋がるモノ～

自動車

Car2X

・これまでの組込みシステム ■スタンドアロンで動作 ■機械的な制御 ・これからの組込みシステム ■インターネットを含めた様々なネットワークと接続して動作。 ■そしてクラウドへ。 ■ソフトウェア制御。 ■個人情報や操作情報のような機微な情報を含めた様々な情報（ビッグデータ）を扱う。

クラウド

Copyright © 2014 独立行政法人情報処理推進機構

組込みシステムのセキュリティ対策

企画 開発 運用 廃棄 ライフサイクル

限られた資源 ↓

セキュリティ技術の軽量化

リバースエンジニアリング ↓

解析に強い耐タンパ技術

暗号化や認証の利用 ↑

第三者からの攻撃

セキュリティガイドライン ↑

タイトなスケジュール

赤字：脅威 青字：対策

ライフサイクル全体での対策が必要

マネジメント

安全な廃棄プロセスの明示 ↑

残存情報による情報漏えい

Copyright © 2014 独立行政法人情報処理推進機構

三つの進化と、それに伴うセキュリティ

新しいサービスの発達 ネットワークへの接続 汎用プロトコル等の利用

新しい技術や機器の 発展に伴って，様々な新しい サービスが創出される。 これにより，組込み業界に 様々なプレイヤーが係わり，

多様な情報が扱われる ようになる。

情報の価値や重要度に応じた セキュリティや情報の取扱いを 利用者が理解・選択出来る ような仕組みが必要となる。 また，新しいサービスの

出現伴って，それに適した セキュリティを検討する

必要がある。

通信機能の搭載が 容易・必須になり

インターネットを含めた 公共回線の利用が当然と なる。これによって様々な モノが繋がる世界になる。

これまでネットワーク経由の 攻撃が考慮されてこなかった 製品群が，今後は攻撃の 対象となるため，製品の セキュリティはもちろん， 利用者の教育についても 検討する必要がある。

多種多様な機器を 接続するためや，

機器のコスト競争等から， 例えばTCP/IPなどの 汎用プロトコルが

利用されるようになる。

これまで利用されてきた 独自プロトコルが標準化され， 一般的なPCでも利用される

汎用プロトコル等が 利用されることで，PCと 同様の脅威が発生する

可能性がある。

4 Copyright © 2014 独立行政法人情報処理推進機構

医療機器のこれから

• 新しいサービスの発達 – 医療現場とクラウド・スマートデバイス等の連携 – ヘルスケア機器・サービスの発展 – 一般家庭における高度医療の実現

• ネットワークへの接続 – 院内LANと外部ネットワークの接続 – 医療機器における無線の活用

• 汎用プロトコル等の利用 – Windows等の汎用OSの利用 – 長期的（医療システムで5年，医療機器で10年）な利用 – 医療を専門としないソフトウェアメーカ等の参入

5

Copyright © 2014 独立行政法人情報処理推進機構

6

IPAにおける医療機器セキュリティ調査概要 • 文献調査及びヒアリングを実施して、以下の調査結果をまとめた。

インシデントの動向 インスリンポンプやペースメーカーなど無線通信を行うインプラント型医療機器の脆弱性について研究報告が相次いでいる（Black Hat 2011年等） 米国ボストンのBeth Israel Deaconess Medical Centerでの胎児モニターへの感染の発生（2013年）。 ICS-CERTから医療機器のハードコードされたパスワードの脆弱性が発表（2013年） ヒアリング調査結果ポイント 今後、医療機器がネットワークに繋がっていくであろうという意識は有識者・現場共にある。 インシデントは、大半がUSBメモリ経由で医療情報システムへ感染したケースであるが、医療機器にまで影響が及んだ事例も挙げられた。 制度面の課題については、薬事法に関する影響と、現状の診療報酬等の仕組みでは情報セキュリティ対策に病院側のインセンティブがないことが挙げられた。

7

■ 2011年Black Hat でJerome Radcliffe氏が報告したインスリンポンプへのハッキング • ハッキングのために、インスリンポンプ及びCGMセンサについて、付属のマニュア

ルや特許庁Webサイトから情報収集を行い、機能や構成の情報を収集。 • 次にCGMセンサを通信情報の解読し、インスリンポンプにおいても機器のシリアル

番号を取得できれば無線通信により誤った命令を実行できるとしている。CGMセン

サ、インスリンポンプそれぞれにおいて、理論上は以下の攻撃が可能であると発表している。 – CGM センサに対しては血糖値の改ざんや通信の妨害が可能 – インスリンポンプ攻撃例は設定を改ざんし、意図しない動作の誘発（インスリン

投入のタイミングや一回当たりの投入量の変更等）が可能

インスリンポンプの通信イメージ（左）と機器（右）（出典：（左）MEDICAL DEVICES

CGMセンサ： （continuous glucose monitors：継続的に糖濃度を計測するシステム）

医療機器セキュリティの研究事例(1/2)

8

心臓ペースメーカーへのハッキング • BreakPoint security conference 2012（2012年10月）でペースメーカー/ICDへ

のハッキングを発表 • ノートPCを用いて、50フィート（約15m）以内のICD（植込み型除細動器）に830

ボルトの電流を流せることをビデオ内で実演 • ペースメーカー/ICDのワイヤレストランスミッターをリバースエンジニアリングし、

トランスミッターの脆弱性を発見し利用（機器を制御するために必要なシリアル番号等の情報を特別なコマンドにより引き出せるという脆弱性）

• ペースメーカーとの無線通信用に使われるプログラマに対して不正なファームウェアをアップロードすれば、大量のペースメーカー/ICDへの感染も起こり得るとしている

ペースメーカー/ICDの治療イメージ

ペースメーカー（左）、トランスミッタ（中央）、プログラマ（右） 出所：（左）http://www.medtronic.com/for-healthcare-professionals/products-

therapies/cardiac-rhythm/pacemakers/enrhythm-pacing-system/index.htm （中央）http://health.sjm.com/heart-failure-answers/daily-life/everyday-concerns-with-an-implantable-device/using-remote-patient-care-management （右） http://washingtonhra.com/21.html

医療機器セキュリティの研究事例(2/2)

9

■ 医療機器のマルウェア感染報告 • 医療情報（画像やデータ）のUSBを利用した受け渡しや、院内ネットワーク経由で

のマルウェア感染が事例として存在。 • 国内外の事例ともに、装置のレスポンスは遅くなったものの、人命や治療には問題

が無かったと報告されており、他の病院でもマルウェア感染に気がつかないまま医療機器を利用している可能性がある。

• 米国ではBeth Israel Deaconess Medical Center（ボストン）の胎児モニタ装置が感染した事例がある。

• 日本では、金沢大学付属病院や熊本大学付属病院等で、マルウェア発見・駆除報告がある。

• 薬事法の解釈も統一されておらず、医療機関によってはウィルス対策ソフトのパターンアップデートやマルウェア駆除が、薬事法に抵触するため不可能というコメントもあった。

インシデント事例(1/2)

Philips製 胎児モニタ装置の例

10

■ 米国FDA（Food and Drug Administration：米国食品医薬局）による 医療機器及び院内ネットワークに関する勧告 • 2013年6月に以下のような医療機器等における脆弱性やインシデントが発生と報告

– ネットワーク接続型の医療機器のマルウェア感染 – 患者の情報やモニタシステム、インプラント機器への無線接続を行うモバイル機

器を標的としたマルウェア – パスワードの意図しない配布、無効なパスワード、ハードコードされたパスワード – 医療機器やネットワークのセキュリティソフトウェアへの適時なアップデートとパッ

チの提供や古い医療機器の脆弱性への対処の失敗 – 貧弱なコーディング / SQL インジェクションなど、デバイスまたは医療機器に関

連する市販のソフトウェアに存在するセキュリティ上の脆弱性 • 同月には米国ICS-CERTから、「ハードコートされたパスワードが利用されている」と

、40ベンダ300の医療機器についてAlertが出された。具体的には、手術用機器や麻酔器、人工呼吸器、薬物注入ポンプ等の医療機器が関係している。ICS-CERTでは

、機器によっては遠隔操作が可能であり、致命的な設定の変更やファームウェアの書き換えのリスクもあるとしている。

インシデント事例(2/2)

医療機器関係者へのヒアリングと IPAによる整理

11 Copyright © 2014 独立行政法人情報処理推進機構

ペースメーカー、人工心臓弁、

インスリンポンプ

人工呼吸器、除細動電極、輸液ポンプ、麻酔システム、透析器

医療情報システム

医療事務や診療を支援するシステムや、患者情報を扱うも端末やネットワーク

オーダリングシステム、医事会計システム、

電子カルテ

エアロバイク等、活動量計、睡眠計

体組成計

ヘルスケア機器

MRI、電子内視鏡、超音波診断装置、

X線フィルム、聴診器

携帯型電子式血圧計携帯型心電計、電気治療器、

医療従事者による利用

一般利用者による利用

D群

使用することにより健康の増進や体型の維持向上が期待できるとされている器具

高度管理医療機器（クラスⅢ、Ⅳ）不具合が生じた場合、人体への影響が大きい機器

一般医療機器（クラスⅠ）/管理医療機器（クラスⅡ）

不具合が生じた場合でも、人体への影響が軽微な機器

医療機器（薬事法の対象）

C群B群

A群

IPAでは医療機器を利用方法や重要度にあわせ、以下のような分類を行った。後述のヒアリングではどの部分に影響するかを整理している。

ヒアリングの整理

13

●マルウェア感染事例 【院内で利用される医療機器】 • 心臓カテーテル検査機が、ウイルス感染で検査できなくなった例がある。 • 実際に機器のコンソールへマルウェアが感染する事例はある。ネットワーク感染ではなく、USB端末を介しての感染である。医療機器の動作不良連絡が入り、様子を見に行って発覚することが多い。

【院内で利用される医療情報システム】 • ウイルス対策ソフト導入以前は、院内でマルウェア感染が多発していた。医局に設置されているスタンドアロンの医療機器に感染していることもあった。

●その他のセキュリティインシデント事例 • ネットワークにウイルス対策ソフトを導入した際、CTオーダーがストップした事例がある。情報系がとまる（オーダーが止まる）と医療機器（CT）がとまる可能性がある。情報系での不具合が医療機器へ影響を及ぼす可能性がある。

• オープンソフトの医療システム等では、一般的な脆弱性ツールでチェックするだけで、SQL injection等の脆弱性が多数見つかるものもある。

ヒアリング結果（現状）

14

●組織面の課題 【医療機器ベンダ】 ・ 医療機器製品の知識とセキュリティの知識を兼ね揃えた人材がいないことが課

題である。 【医療従事者】 ・ 医療現場のセキュリティへの意識も低く、マルウェア等への危機感はない。 ・ 日本の医療従事者はベンダ依存であり、病院側に医療機器を管理する感覚や

能力、責任意識がないことが問題。 【ヘルスケア機器ベンダ及びサービスプロバイダー】 ・ 国民および医療機器産業全体へのセキュリティ意識の教育は重要だろう。特に

ヘルスケア分野は機器のセキュリティに関する意識が薄い可能性が高い。

ヒアリング結果（課題）(1/3) セキュリティインシデント事例

• 大半がUSBメモリ経由で医療情報システムへ感染したケースであるが、

医療機器にまで影響が及んだ事例も挙げられた。ただしマルウェア感染事例数について、組織により様々であったため、ヒアリングで得られた事例として以下に示す。

15

●制度面の課題 • ソフトウェアのインストールなどは、薬事法で認められていない改造にあたると考えられており、薬事承認時に記載がなかったソフトの追加インストール、セキュリティパッチの適用、OSのアップデート等は行えない。

• マルウェアの侵入・感染が起こると、現行の薬事法では対処が難しい。ただし、感染可能性のあるソフトウェアの部分を薬事法認定外とするなどの対策もされつつある。

• 様々な医療機器をネットワークに繋げている現在、リスクマネジメントできるのは病院のみである。病院が専門部署を置くなどの対策を促進するには、診療報酬等、病院側の対策を促進させるようなインセンティブが必要。

• 医療情報技師の資格は、専門資格と認められていないため、診療報酬に反映しないことが問題である。国家資格となれば、病院として取組みが可能となる。

ヒアリング結果（課題）(2/3) 医療機器セキュリティに関する課題（続き）

• 組織面の課題については、ベンダや医療関係者のセキュリティ意識の低さや、医療関係者とベンダ間の関係などが挙げられた。

16

医療機器セキュリティに関する課題 • 技術面の課題については、リモートメンテナンスのためのネットワーク、院外の生活空間で使われるようになりつつある医療機器などが懸念事項として挙げられた。

●技術面の課題 • ベンダ・医療機関間でリモートメンテナンス用に専用線が引かれている。複数ベンダが同じ部門ネットワーク上で相乗りしており、セキュリティ上の課題となっている。

• 現状、技術的なセキュリティ対策はほぼわかってきている。ホワイトリストなどの技術を採用し始めたところも出てきた。

• やらない・できない原因は費用であり、対策費が莫大すぎること。過去の製品のパッチ費用やこれからの製品の費用両方がかかる。普及機から高級機まで、ソースコードはかなり共通したものを利用している。

• クラスⅠ、Ⅱの機器は、生活でも使われるようになってきており、外部ネットワークへも比較的容易に接続可能であり、リスクとなりうる。

ヒアリング結果（課題）(3/3)

まとめ

17 Copyright © 2014 独立行政法人情報処理推進機構

18

• 脅威の把握・認識の向上に向けた取組みの必要性 – 医療機器のセキュリティを高めるためには、医療機器におけるセキュリティ上の脅威やリスク

、対策について情報集約やその整理・分析を行う必要がある。よって情報セキュリティ技術側の組織が、医療機器メーカーや医療従事者等に対して、医療機器を含めた組込み機器の脅威の現状や、将来のセキュリティ課題について、調査・分析を行っていく必要がある。

• 医療機器の脆弱性低減への取組み – 医療機器は他の組込み機器と違い、薬事法を始めとする様々な制度に従って開発・運用が

進められている。一方で、構成しているソフトウェアの脆弱性の低減およびその対策は今後重要な課題となってくるものと考える。そのためには、①機器開発時の脆弱性の低減、②機器提供者によるセキュリティパッチ等の提供、③医療機器やシステムに対するその速やかな適用、の３段階が必要となる。特に③については、医療機器やシステムのセキュリティパッチをあてる等のセキュリティ上の修正・更新が、薬事法等の関係制度の下でスムーズに運用されるようになることが必要である。

• 医療現場へのセキュリティ啓発活動 – 医療機器におけるセキュリティ被害の発生を抑えるためには、医療機器を扱う医療従事者及

び一般利用者のセキュリティ意識を高める必要がある。特に医療従事者においては、医療機器の調達の際のセキュリティ要件やセキュリティに配慮した運用管理手法等、様々な面でセキュリティへの配慮が求められる。その際には、（社）日本医療情報学会により資格認定された一万人以上の「医療情報技師」人材をセキュリティ面でも有効活用していくべきである。

医療機器のこれから

IPAからのお願い Windows XPのサポートが、2014年4月9日に終了しました。 まだ移行していない方は、不正アクセス等を回避するためサポートの継続する後継OS、または代替OSへの移行が望まれます。

サポート期間中

サポート期間終了後

IPA XP移行 検索

https://www3.jitec.ipa.go.jp/JitesCbt/