植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性

Medtronicの植込み型除細動器(ICD)や心臓再同期療法除細動器(CRT-D)とプログラマーやモニターとの通信に使われるMedtronic Conexusプロトコルに存在する、患者を攻撃可能な脆弱性2件が公表された(セキュリティ情報: PDF、ICS-CERTのアドバイザリ、Ars Technicaの記事、The Registerの記事)。

CVE-2019-6538はプロトコルに認証の仕組みが備わっていないというものだ。この脆弱性を悪用することで、攻撃者はデバイスの設定変更が可能となる。CVSS v3スコアは9.3(Critical)。CVE-2019-6540はプロトコルに通信内容を暗号化する仕組みが備わっていないというもので、攻撃者は患者のプライバシーにかかわる情報を含むすべての通信内容を傍受できる。CVSS v3スコアは6.5(Medium)。

ただし攻撃を成功させるには、攻撃者がConexusプロトコルで通信可能な機器を持ち、通信機能がオンになったデバイスの通信可能範囲内(最大6m程度)にいる必要がある。病院での診療時にはデバイスの通信機能が必要となるが、病院外での通信機能の利用は限定的だ。Medtronicはアップデートを開発中だが、リモート監視機能による利点が脆弱性によるリスクを上回るとして、処方されたとおりに使用することを推奨している。発表時点ではこれらの脆弱性を悪用した攻撃等は確認されていないとのこと。

なお、MedtronicのプログラマーではCareLink 2090とCareLink 29901でソフトウェアアップデート機能の脆弱性が昨年発見されているが、今回の脆弱性の影響を受けるプログラマーはCareLink 2090のみとなっている。　

スラドのコメントを読む | セキュリティセクション | セキュリティ | 通信 | 医療

　関連ストーリー：
心臓ペースメーカー1100台余りに停止のおそれ、プログラムを無線通信で修正することを検討 2019年01月23日
植込み型心臓電気生理学デバイス用プログラマーにリモートから患者を攻撃可能な脆弱性 2018年10月15日
建物への落雷で医療用の植込み型パルス発生装置が停止 2018年05月10日