命のハッキングにつながるのか!ペースメーカー・インスリンポンプなど医療機器ハッキングの脅威
ニュージーランド人のコンピューター・セキュリティ研究家であり、銀行ATMのハッキングを成功させ、2010年、ハッカーの年次国際会議デフコンで、ATMに潜むセキュリティホールを発表し、注目を浴びた、バーナビー・ジャック(Barnaby Jack)氏が、7月25日に死去しました。
8月1日に、ラスベガスで Black Hat ハッキングカンファレンスで、彼は人間用の電子医療用インプラントに(ペースメーカーなどの医療機器)ハッキングとその対策のデモを行う予定でした。
体内植込み式の医療機器は無数に存在し、多くの患者が利用しています。
しかし、ハッカーへの対策は、ほとんどされていません。現在まで、実生活でこうした機器が現実に攻撃されるような状況はありませんでした。
サイバー犯罪者といわれるハッカーは、研究者としてのハッカーとは違い、お金のためにやっているので、こうした電子医療インプラントによるインスリンの量を変えたり、ペースメーカーに強い衝撃を与えることが収入となる理由が生まれるまでには、およそはキングされることはないだろうと予測できます。
しかし、絶対的な安心や安全はありません。医療は特に人間の生命にかかわることです。セキュリティの問題が存在する可能性があるのなら、リスクマネジメントとして対応しておかねばなりません。
アプリケーションセキュリティ企業IOActiveのセキュリティ研究者だったバーナビー・ジャック氏は、昨年オーストラリアで開催されたBreakpointカンファレンスで、ラップトップからペースメーカーにワイヤレスで信号を送り、患者の体内から死に至るほどの衝撃を発生させられることを実証しました。
このセキュリティホールは、ペースメーカーに特殊なコマンドを送ると、ペースメーカーが自身のモデルとシリアル番号を送り返すというプログラミングエラーから生じ、対象とするデバイスのタイプを特定すれば、830ボルト(死の危険があります)の電撃を、ペースメーカーが埋め込まれた体に送れます。
さらにバーナビー・ジャック氏は、ペースメーカーをプログラムして、悪意のあるコードを同じ製造元の同様の機器に拡散させることが可能であることも実証しました。その1年前には、フロリダ州マイアミで開催のHacker Haltedカンファレンスにおいて、インスリンポンプのぜい弱性を突き、300フィート(約91m)も離れたところから致死量のインスリンを投与するという攻撃をデモして、セキュリティ業界の内外から注目を集めました。
ペースメーカーやインスリンポンプは氷山の一角で、それ以外にも、体内植え込み式であれ、体外で使用するものであれ、ぜい弱性を含む可能性のある医療機器は想像もつかないほど無数にあります。これらは、コンピューターという意識なく、医療機器のセキュリティという面を考えてこなかった(あるいは見ないようにしてきた)ということを表わしているでしょう。
インスリンポンプはインスリンを供給し、供給するインスリンの量は医師との通信で行われます。ペースメーカーも同様に、電気パルスを心臓に送って鼓動を正常に保ち、時折体外と通信して、どのくらいのインパルスが必要かを決定します。
問題とすべきは、こうした医療機器が体の外にあるものと通信するということは、ワイヤレスで行っているということであり、ここにセキュリティの問題が出てきます。次のステップとして、医療機器を暗号化し、認証機能を設定して、機器へのアクセスを制限することになるでしょう。しかし、こうした機器の性質から、無数の制限が課せられます。パスワードを設定してしまうと、旅行に行ったときに外国の医師に助けてもらえないということになるかもしれません。暗号化すると、小さな植え込み式機器はすぐに電池が切れてしまうかもしれません。こうしたひとつひとつの課題を解決していかなければなりません。
とはいえ、医療においても、セキュリティの万全な備えが、生命を守ることにつながるのでしょう。