Medtronic インスリン・ポンプに欠陥:緊急リコールが実施される

Medtronic urgently recalls insulin pump controllers over hacking concerns

2021/10/06 BleepingComputer — Medtronic は、同社の MiniMed Paradigm ファミリーに属するインスリン・ポンプのリモート・コントローラーを、深刻なサイバー・セキュリティ・リスクがあるとして、緊急にリコールした。ベンダーに戻されるべきコントローラーは、Medtronic のインスリン・ポンプ MiniMed 508 および、MiniMed Paradigm ファミリーで使用される MMT-500/MMT-503 となる。

これらのデバイスは、1999年8月〜2018年7月に米国で販売されたもので、現時点で国内の糖尿病患者が使用している脆弱なユニット数は 31,310 台と推定されている。インスリン・ポンプは、糖尿病患者にインスリンを投与するために使用されるが、リモート・コントローラーは、デバイスのワイヤレス・コマンドを補助するものであり、デバイスへ向けて無線で指示を出し、インスリンの投与開始/停止/投与量の変更などを行う。

命取りになりかねないハッキング

古いリモコンの問題点は、ユーザーがコントローラーのボタンを押したときに発生する無線通信信号を、権限のない人が記録/再生することで、インスリン・ポンプに直接コマンドを送る可能性があることだ。

それにより、意図的にインスリンを過剰投与したり、投与を止めたりすることが可能になる。重度の糖尿病を患っている人の中には、わずかな低血糖症や急性代謝失調でも、死に至ることがある。Medtronic は BleepingComputer に対して、このような方法でリモート・コントローラーが操作されたという報告は確認されていないと述べている。

Medtronic では、上記のリモート・コントローラーを使用している患者や医療従事者対して、直ちに使用を中止するよう要請している。同社は、ユーザーのリコール・モデルに対する具体的な指示を記載した手紙を送付しているが、中古品ユーザーの場合は、この「緊急医療機器リコール」の通知に、各モデルの指示が記載されているかもしれない。コントローラーを無効にして ID を削除した後に、ベンダーに送り返すことが推奨される。

長年の問題

2019年6月に、Medtronic と FDA は、インスリン・ポンプ MiniMed 508 と Paradigm シリーズのユーザーに対して、ハッキングのリスクを警告し、全国的なリコール・プログラムを実行した。その件は、一般的にインスリン・ポンプと組み合わせて使用される、血糖値計や流量監視システムなどの医療機器とポンプの接続を悪用した、中間者攻撃の可能性に関するものだった。一般的には、スマート/リモート通信機能を備えた医療機器の使用には、その機能を注意深く監視し、想定通りに動作していることを確認する必要がある。

文中にもあるように、医療機器に対するサイバー攻撃は、生命に関わる問題です。実際に、ランサムウェアに攻撃された医療機関もあり、相当の被害が出ています。よろしければ、カテゴリ HealthCare を参照してください。また、DarkSide の後継者と見られる BlackMatter は、医療機関/重要インフラ/防衛産業/非営利企業をターゲットにしないと発表しているようです。この分野が狙われないことを願いますが、防御は絶対に必要ですね。

%d bloggers like this: