IoT管理ツールの脆弱性が、医療機器やATMに深刻な影響を及ぼす

医療機器などで広く使われているIoTの遠隔管理ツール「PTC Axeda」に、このほど深刻な脆弱性が見つかった。脆弱性は合わせて数十万台の機器に存在すると推定され、悪用されれば大きな被害をもたらす可能性がある。

CTスキャナーなどの撮影装置や臨床検査機器のような特殊な医療機器の多くは、病院のネットワーク上で十分に守られていない。こうしたなか、モノのインターネット(IoT)の遠隔管理ツールに7つの脆弱性があることが、このほど明らかになった。この問題は医療機器のみならず、幅広いIoTエコシステムの欠陥を示している。

医療セキュリティ企業CyberMDXの研究者らが、IT企業PTCのIoT遠隔アクセスツール「PTC Axeda」の容易に悪用できる脆弱性7つ(総称は「Access:7」)を、このほど発見した。CyberMDXは、IoTセキュリティ企業のForescoutが2月に買収した企業である。

このツールはあらゆる組み込み機器で使用できるが、特に医療機器で広く活用されている。研究者らによると、このツールをATMや自動販売機、バーコード読み取りシステム、一部の産業用の製造設備などの遠隔管理に利用している企業もある。研究者らは、Access:7の脆弱性が合わせて数十万台の機器に存在すると推定している。 Forescoutが自社の顧客について調べたところ、2,000以上のシステムに脆弱性が見つかった。

「攻撃者は医療機器やその他の機密性の高い情報を扱う機器からデータを抜き取ったり、検査結果を改ざんしたり、重要な機器を使えなくしたり、あるいは完全に乗っ取ったりすることができてしまいます。そうした攻撃がどのような影響を及ぼすか想像できるでしょう」と、Forescoutのセキュリティ研究の責任者であるダニエル・ドス・サントスは語る。

壊滅的な被害をもたらす可能性

脆弱性の一部は、Axedaの隠しコマンドや未認証のコマンドの処理方法に関連するもので、攻撃者はこれを悪用してプラットフォームを操作できる状態だった。ほかにも初期設定の問題、例えば複数のAxedaのユーザーが予測しやすいハードコードされたパスワードを共有していたことが関連している。7つの脆弱性のうち3つは「致命的」、残りの4つは「中度から高度のバグ」という評価だった。

攻撃者はこれらのバグを悪用して患者のデータを取得したり、検査結果やその他の医療記録の改ざんをしたり、医療従事者が必要なときに患者のデータにアクセスできないようにするサービス拒否攻撃(DoS)を実施したり、産業用の制御システムを停止させたりできてしまう。さらにはATMを攻撃する足がかりになることも想定される。

この分野での脆弱性はそう珍しくないが、これらの脆弱性は攻撃者にとって特に悪用しやすい。Access:7のバグが悪用されれば、その被害はハッカーがITサービス企業Kaseyaの提供するマネジメントソフトウェアの脆弱性を突いて仕掛けたランサムウェアの大規模な攻撃による被害に匹敵する可能性がある。製品は異なるものの広く使われていることから、壊滅的な被害をもたらす条件が揃っているのだ。またAccess:7は、根深いIoTの安全性の問題と、長いこと解決されていない脆弱性という大きな課題を指し示している。

会員限定記事会員サービス詳細