スマート輸液ポンプ、大半で既知の脆弱性が修正されず
2022年3月7日 11:42
Palo Alto NetworksのUnit 42 がスマート輸液ポンプ 20 万台以上のセキュリティを調査したところ、大半でセキュリティ上の問題 1 件以上が修正されていなかったそうだ(Unit 42 のブログ記事、日本語版、HackRead の記事)。
調査は同社の IoT Security for Healthcare を使用する医療機関から収集されたデータを対象としたものだ。発見された問題は既知のセキュリティ脆弱性 40 件以上、そのほかの IoT デバイスに関するセキュリティ上の問題 70 件ほどで、 75% のスマート輸液ポンプで 1 件以上の問題が修正されていなかったという。中でも CVE-2019-12255 (深刻度: 緊急) と CVE-2019-12264 (深刻度: 高) の両方が見つかったスマート輸液ポンプは 52.11% にのぼる。これら 2 件は VxWorks OS の脆弱性で、前者は TCP コンポーネントのバッファーオーバーフロー脆弱性、後者は不適切なアクセスコントロールとなっている。