医療機器メーカーであるセント・ジュード・メディカル社に対する係争中の訴訟の新たな提出書類によると、同社の心臓インプラントがハッキングされ、それを使用している患者にショックを与えるのに使用される可能性があるという。
告発を行った2つの組織、セキュリティプロバイダーのMedSecと投資調査会社Muddy Watersは、8月にセント・ジュード・メディカルを標的とした脆弱性レポートを公開しました。レポートでは、同社のペースメーカーや除細動器などの心臓関連機器にセキュリティ上の脆弱性があり、サイバー攻撃の影響を受けやすく、患者にとって明らかなリスクとなっていると主張していました。
ZDNetのチャーリー・オズボーン記者が報じたように、セント・ジュード病院は9月に訴訟を起こし、報告書は誤解を招くものだと主張しました。現在、セント・ジュード病院は、独立系セキュリティ企業ビショップ・フォックスが作成した新たな報告書が医療機器メーカーに対する証拠として提出されたことで、独自の法的問題に直面しています。
参照: 情報セキュリティポリシーテンプレート (Tech Pro Research)
MedSecとMuddy Watersによる最初の報告書では、特定のサイバー攻撃によってペースメーカーのバッテリーが消耗したり、デバイスの心拍数が上昇したりする可能性があると主張されていました。Kaspersky LabsのThreatpostが最初に報じた最新の報告書では、セント・ジュード・メディカルの心臓デバイスが兵器化され、治療を無効化したり、3メートル離れた場所から患者にショックを与えたりする可能性があると指摘されています。
ビショップ・フォックスのカール・D・リヴィット氏が出したこの新しい報告書では、メドセックとマディ・ウォーターズによる当初の報告書は「概ね正確」であると信じているとも記されている。
「セント・ジュード・メディカルの埋め込み型心臓機器エコシステムのセキュリティに関する私の総合的な意見は、私が観察したセキュリティ対策は、患者に埋め込まれた生命維持装置の保護を担うシステムのセキュリティ要件を満たしていないということだ」と報告書は述べている。
これらの主張にもかかわらず、Threatpostは、当初の報道はMedSecがセント・ジュード病院の株価を下げて利益を得ようとした試みだったと示唆しました。しかしながら、米国食品医薬品局(FDA)と国土安全保障省(DHS)は現在、セント・ジュード病院の医療機器について調査を行っています。
このニュースは、世界最大級のウェブサイトの多くを利用不能にした壊滅的なDyn DDoS攻撃の直後に発表されました。IoTの脆弱性が一因とされたDyn攻撃は、コネクテッドデバイスのセキュリティ強化の必要性を浮き彫りにしました。しかし、セントジュード病院の告発は、コネクテッドデバイスが適切に保護されていない場合、どれほど大きなリスクにさらされる可能性があるかを如実に示しています。
TechRepublic読者にとっての3つの大きなポイント
- 新たな報告によれば、セント・ジュード病院の心臓インプラントはペースメーカーと同様にハッキングされ、それを使用している患者に対して武器として使用される可能性があるという。
- この報告書は、セント・ジュードとマディ・ウォーターズ、そしてセント・ジュードの機器がサイバー攻撃に対して脆弱であると主張する最初の報告書を提出したメドセックとの間で続いている法廷闘争の最新のものだ。
- サイバー攻撃がこのような重要な機器に影響を及ぼす可能性があることから、IoT および接続デバイスのセキュリティ強化の必要性がさらに浮き彫りになっています。
