米国CISAが医用画像・超音波製品に関する脆弱性情報を発出

第122号　2020.12.21公開

CISAによると、今回の事案では、医療セキュリティ専門スタートアップ企業CyberMDXの研究者が、脆弱性をGEヘルスケアに報告したことが発端となっています。

この脆弱性の影響を受ける可能性がある製品は、磁気共鳴診断装置（MR)、一般用超音波医用画像診断装置、心臓血管用超音波診断装置、女性の健康用超音波診断装置など、多岐に渡っています。

 CISAは、具体的な脆弱性の内容として、以下の2点を挙げています。

• 保護されていない資格情報の転送（CVE-2020-25175）
• 機微なシステム情報の不正なコントロール領域への暴露（CVE-2020-25179）
  

研究者からの報告を受けたGEヘルスケアは、特定製品およびリリース向けのリスク低減策を特定した上で、製品ファイアウォールを保護する適正な構成を保証し、影響を受ける機器のデフォルト設定パスワードを可能な限り変更するためにプロアクティブな対策をとるとしています。

また、GEヘルスケアは、以下のような臨床ネットワーク・セキュリティに関するベストプラクティスを活用するよう推奨しています。

• ローカルの病院／臨床ネットワークにおける適切なセグメンテーションを保証し、すべてのコネクション向けの送信元／宛先のIP／ポート番号（遠隔サポート向けに使用されるものを含む）に基づいて、明示的なアクセスルールを構築する。考慮すべき特定のポートには、TELNET、FTP、REXEC、SSH向けに使用されるものが含まれる可能性がある。
  
• ローカルの病院／臨床ネットワークへの着信接続を転送する前に、インターネットのエッジで、 IPSec VPNと明示的なアクセスルールを有効活用する。

これらを踏まえた上で、CISAは、防御対策を導入する前に、適切なインパクト分析とリスク評価を実施するよう呼びかけています。

当該記事が関係機関に及ぼすと考えられる影響

医療機関

・この事例に限らず、臨床現場で利用される医用画像関連機器の脆弱性については、外部の第三者（ホワイトハッカー）からの報告が発端となるケースが増えている。医療機関は、SOC（セキュリティオペレーションセンター）やCERT（コンピューター緊急対応チーム）、外部の情報共有分析組織（ISAO）と連携しながら、第三者からインシデント関連情報を受けた場合の対応体制整備を進める必要がある。
 

医療機器メーカー／医療品メーカー

・国際医療機器規制当局フォーラム（IMDRF）の医療機器サイバーセキュリティ原則においても、市販後安全対策における情報共有のエコシステムに「脆弱性の発見者（セキュリティ研究者及びその他を含む）」が組込まれているので、企業組織や業種・業界の枠を越えたホワイトハッカーとの連携活動について、議論する必要がある。

サプライヤー

・サイバーセキュリティに関する緊急安全情報の入手ソースとして、医療以外の規制当局や第三者組織の果たす役割が大きくなっているので、組織の枠を越えた情報共有・分析体制について、発注元とともに再検討する必要がある。

関連記事 [外部サイト]

• Cybersecurity and Infrastructure Security Agency (CISA)「ICS Medical Advisory (ICSMA-20-343-01): GE Healthcare Imaging and Ultrasound Products」（2020年12月8日）
  
• GE Healthcare「Vulnerability Disclosure regarding Default Passwords in GE Healthcare Products」（2020年12月9日更新）
• 厚生労働省「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について（周知依頼）」（2020年5月13日）[PDF, 1.0MB]
  

ライフサイエンス・ヘルスケアに関する海外サイバーセキュリティニュース

デロイト トーマツ グループのサイバーセキュリティチームでは、ライフサイエンス・ヘルスケア業界に向け、海外の規制情報やそれに伴う関係業界への影響について情報提供しています。（不定期刊行）

＞＞過去記事のアーカイブから他の記事を見る

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<