ペースメーカーからスマートウォッチまで、私たちはますますサイバネティックな存在になりつつあります。そのため、最近、植え込み型医療機器の脆弱性についての見出しで、警鐘を鳴らしているのかもしれません。おじいちゃんのペースメーカーが本当に盗聴されているかも？また、その場合、現実のリスクはどうなのか？

これはタイムリーな問題です。そう、医療技術は大きく変化しています。埋め込み型デバイスは無線通信が可能になり、来るべきIoT（Internet of Medical Things）ではさまざまなウェアラブルデバイスが登場し、医療従事者と患者さんはより密接な関係を保つことができるようになりました。しかし、ある大手医療機器メーカー**は、1つだけでなく2つの深刻なセキュリティ侵害で話題になっています。

ハッキングの危険性が指摘される脆弱性

今年3月、米国国土安全保障省は、ハッカーがメドトロニック社製の植込み型ペースメーカーに無線でアクセスする可能性があると警告した。そのわずか3カ月後、メドトロニック社は同様の理由でインスリンポンプの一部を自主回収した。

表面的には怖いですが、案外そうでもないかもしれません。ハッカーは何百キロも離れた遠隔端末からペースメーカーにアクセスすることはできず、大規模な攻撃はできない。ペースメーカーの1つを攻撃するためには、被害者のごく近く（Bluetoothの範囲内）で、かつ、インターネットに接続してデータを送受信している場合のみ、攻撃を行うことができます。

メドトロニック社は、データの認証や暗号化を必要としない通信プロトコルを設計しているため、そのリスクは現実のものとなっています。その結果、十分な動機があれば誰でもインプラントのデータを変更することができ、危険な、あるいは致命的な方法でインプラントの動作を変更する可能性があるのです。

ペースメーカーと同様に、インスリンポンプも計量器などの関連機器と無線で接続し、インスリンの注入量を決定することができる。また、このインスリンポンプシリーズにはセキュリティが内蔵されていなかったため、よりネットワークを意識したモデルに置き換えています。

業界は追いついてきている

一見すると、メドトロニック社は無知と危険な安全性の見本のように見えるが（同社はこの件に関する我々のコメント要請に応えていない）、同社だけとは言い切れないのだ。

IoTセキュリティ企業であるキーファクターの最高技術責任者であるテッド・ショーターは、「全体として、医療機器のサイバーセキュリティは劣悪な状態にある」と述べています。

プライバシー、サイバーセキュリティ、ヘルスケア規制を専門とするEpstein Becker Greenの弁護士、Alaap Shahは、「歴史的に、**製品はセキュリティを考慮して開発されてこなかった」と説明する。."

何しろ、昔はペースメーカーをいじるには、手術をしなければならなかったのですから。業界全体が、この技術に追いつき、そのセキュリティ上の意味を理解するのに苦労しているのです。前述の「Internet of Medical Things」のように急速に進化するエコシステムは、これまで考慮したことのなかった業界に新たなセキュリティのプレッシャーを与えています。

マカフィーのチーフ・スレット・リサーチャーであるスティーブ・ポボルニー氏は、「私たちは、接続性とセキュリティ問題の成長における変曲点に直面している」と述べています。

医療業界では脆弱性が指摘されていますが、これまで医療機器が野放しにされてハッキングされたことはありません。

抜け穴を突かれたとは思っていない」とショートは言った。

なぜダメなのか？

ボボーニ氏は、「犯罪者はペースメーカーをハッキングする動機がないのです」と説明する。"ランサムウェア "で患者の記録を乗っ取ることができる医療用サーバーには、より大きな投資対効果が期待できるのです。だから、低複雑度、高リターンの分野を狙っているのだ" と。

実際、病院のIT部門は従来から保護が行き届かず、過大な報酬を得ていたのに、なぜ高度なハイテク医療機器の改ざんに投資するのだろうか。2017年だけでも、16の病院がランサムウェアの攻撃で機能不全に陥りました。捕まっても、サーバーを停止しても殺人罪にはならない。しかし、機能する医療機器に盗聴器を仕掛けるのは、また別の問題です。

暗殺と医療機器ハッキング

それでも、ディック・チェイニー元副大統領は、2012年、チャンスを逃すことはなかった。ペースメーカーを新しい無線式に交換する際、医師はハッキングを防ぐために無線機能を無効にした。チェイニー氏の担当医は、テレビ番組「ホームランド」のエピソードに触発されて、「誰かが・・・ハッキングできるかもしれない装置を、アメリカの副大統領が持っているのはまずいと思った」と語っている。

チェイニー氏の武勇伝は、医療機器を通じて遠隔操作で人々の健康をコントロールする恐ろしい未来を暗示している。しかし、ボヴォーニは、○○がインプラントに手を加えて遠隔操作で人を攻撃するようなSFの世界になるとは思っていないようだ。

ボヴォーニ氏は、ハッキングの複雑さを理由に、「個人を攻撃することに興味を持つ人はほとんどいない」と言う。

しかし、それが実現できないわけではありません。アルパイン・セキュリティは、最も脆弱なデバイスを5つのカテゴリーに分類しています。リストのトップは老舗のペースメーカーで、メドトロニックの最近のリコールなしで切り返し、代わりに2017年に**商社アボット社がリコールした46万5000個の植込み型ペースメーカーを引き合いに出しています。同社は、患者の死亡につながりやすいセキュリティ上の欠陥を修正するために、これらの機器のファームウェアを更新する必要がありました。

アルパインが懸念しているのは、ペースメーカーに似た植込み型除細動器、薬物注入ポンプ、さらには最先端でも植込み型でもないMRI装置などである。ここで伝えたいのは、医療IT業界は、病院内に露出している大規模なレガシーハードウェアを含む、さまざまな機器の安全性を確保するために、やるべきことがたくさんあるということです。

私たちの安全性は？

ありがたいことに、医療機器**ベンダーのサイバーセキュリティの状況は、ここ数年で着実に改善されているというのが、アナリストや専門家の一致した見解のようです。これは、2014年に米国食品医薬品局（FDA）が発表したガイドラインや、複数の連邦政府**省にまたがる省庁間ワーキンググループの成果によるものです。

例えば、ポボルニー氏は、FDAが**ベンダー**と協力して、機器の更新のための試験スケジュールを合理化していることを心強く思っています。"誰も傷つけないようにデバイスをテストするだけでなく、時間がかかりすぎて攻撃者に既知の脆弱性に対する攻撃を研究・実行する時間を与えないように、十分なバランスを保つ必要があります。"

ULの医療システム相互運用性・セキュリティ担当チーフ・イノベーション・アーキテクトであるanurafernandoによると、医療機器のセキュリティ向上は、現在、最優先事項となっています。このたび、医療分野連携協議会から共同安全対策が提案されました。規格開発機関は、規格を開発し、必要に応じて新しい規格を作成しています。国土安全保障省は、CERTプログラムやその他の重要インフラ保護プログラムを拡大し続けており、ヘルスケアコミュニティは、脅威の変化に対応するため、サイバーセキュリティ態勢を継続的に改善するために、他者と協力し、拡大しています。"と述べています。

これだけ略語があると心強いかもしれませんが、まだまだ先の話です。

フェルナンドは、"サイバーセキュリティ態勢が非常に成熟している病院がある一方で、基本的なサイバーセキュリティの衛生問題への対処方法さえ理解できずに苦しんでいる病院がまだたくさんある "と嘆いています。.

では、あなたやあなたのおじいさん、あるいはウェアラブル端末や埋め込み型医療機器を装着している患者さんに何ができるでしょうか。答えは、少し憂鬱です。

ボボーニ氏は、「残念ながら、責任は＊＊商人と医療界にある」と述べ、「より安全な機器と安全プロトコルの適切な実施が必要だ」と語った。

ただし、1つだけ例外があります。例えば、スマートウォッチなどのコンシューマーグレードのデバイスを使用している場合、ポボルニーはセキュリティの衛生状態を良好に保つことを推奨しています。デフォルトパスワードの変更、セキュリティアップデートの適用、常時インターネットに接続されていないことの確認（不要な場合は）。