古い医療システムに注意

 
マカフィーのAdvanced Threat Research（ATR）チームは、患者の臨床モニターおよび関連システムについての調査結果を発表しました。患者監視システムは、臨床モニターと中央監視ステーションの少なくとも2つの基本的なコンポーネントで構成されています。こうしたシステムにより、一人の医療従事者が複数の患者を経過観察できるようになります。
 
今回調査したのは、Windows XPを搭載するデスクトップコンピューターと同じように作動する中央監視ステーションで、一部の地方の病院では、現在も使用されているデバイスです。マカフィーのATRチームは、患者モニターと中央監視ステーションを使って医療ネットワーク上で患者のバイタルサインをリアルタイムでエミュレートし、変更することが可能であることを実証しました。もしこのような攻撃にあえば、患者への誤った投薬、追加検査、入院延長などの結果を招く可能性があることを裏付けています。
 
マカフィーでは、製品ベンダーと医療機関の両方が、この種の攻撃の脅威を大幅に軽減するための対策を講じることができると以下のように説明しています。
 
・ベンダーは、デバイス間のネットワークトラフィックを暗号化し、認証を追加する。
・ベンダーは、非常に厳しいネットワークアクセス制御を備えた完全に隔離されたネットワーク上で
　医療機器を稼働させる。
・医療機関はこれらの推奨事項に従う。
 
もしこのような古いシステムをお使いの医療機関は、早急な対応が必要でしょう。
 
『医療機器の脆弱性を調査：5秒かからずに80から0へバイタルを改ざん』
（出典：2018年8月22日　マカフィーブログより）
 

システムによっては「KRACK」の影響も報告

 
また、昨年10月に発見されたWi-Fiのセキュリティ暗号企画「WPA2」の脆弱性「KRACK」ですが、これも医療機器にも影響が及ぶことがわかっています。2018年6月に、医療技術企業のベクトン ディッキンソン アンド カンパニーが世界中で提供している医療機器がこの「KRACK」の影響を受けることが報告されました。
 
この脆弱性が悪用されると、攻撃者は、必要な認証情報を入手して無線ネットワークにアクセスし、関連する医療機器だけでなく、無線ネットワークに接続された他のすべてのデバイスによって交換される情報を復号できるといいます。さらに同社では、「KRACK」の脆弱性が悪用された場合、攻撃者は患者情報を変更したり、医療機関における通常のIT関連業務に大きな混乱を引きおこすことも可能だと指摘しています。なお同社では、すでに通常のプロセスを通じて必要な更新プログラムを配信しています。
 
こうした医療機器は最も安全性を確保すべき領域です。さまざまな攻撃手法の変化や脆弱性に対応するためにも、医療機関およびベンダーはよりネットワークセキュリティには十分留意する必要があります。
 
『WPA2の脆弱性「KRACK」が医療機器に影響、患者情報漏えいの可能性』
（出典：2018年6月5日　トレンドマイクロより）
 

＞＞ IT管理のアウトソーシングならシーティーエスにおまかせください

 
＊＊＊＊＊＊＊＊＊