心臓のペースメーカーをハッキングできることが、初めて示されたのは約10年前だ。そして最近は、この恐ろしい技術の最新版が現れている。これまでの多くの方法とは異なるもので、無線信号を操作するのではなく、体内に埋め込まれたペースメーカーに直接、マルウェアを仕掛けるのだ。

セキュリティ会社ホワイトスコープ（Whitescope）のビリー・ライオスと、QEDセキュアソリューションズのジョナサン・バッツは2年ほど前から、ペースメーカー大手のメドトロニックと、らちのあかないやりとりを続けてきた。同社が製造するペースメーカー専用プログラミング機器「ケアリンク2090」をはじめとする関連機器に、人命を危険にさらしかねない脆弱性が存在すると指摘してきたのだ。

この問題には、米国土安全保障省（DHS）と米食品医薬品局（FDA）も関与している。メドトロニックは発見された欠陥のいくつかを修正している。だがライオスとバッツは、依然として未解決の問題が山積みで、ペースメーカー使用者にとっての深刻なリスクは消えていないと主張している。

無防備なままの患者たち

ライオスとバッツによれば、メドトロニックのインフラには数々の脆弱性がある。ハッカーはこれらを利用することで、埋め込まれたペースメーカーを遠隔操作し、不要な電気刺激を与えたり、逆に必要な刺激を止めたりして、患者に重大な危害を加えることができる。

「メドトロニックは、わたしたちと話し合った時間を対策に使っていれば、たくさんの問題を解決できていたでしょう」と、バッツは言う。「もう2年も経つのに、患者たちはいまだにリスクに無防備なままです。悪意あるハッカーは、好きなときに電気ショックを与えられるし、必要なショックを止めることもできます。本当に腹立たしいことです」

ライオスとバッツが最初に指摘したバグは、メドトロニックのソフトウェア配信ネットワークで発見されたものだ。このプラットフォームは、ペースメーカーと直接通信するものではない。ホームモニターや、埋め込まれたペースメーカーを医療関係者が調整する際に使用するプログラミング機器など、サポート機器に対してアップデートを提供するものだ。

同ネットワークは、メドトロニックが独占的に所有するクラウドインフラであるため、バッツとライオスが意図的にシステムに侵入し、認証システムの問題や整合性チェックの欠如といった疑いを確認しようとすれば違法行為になる。そこで彼らは代わりに、脆弱性が存在することの概念実証を実施した。外部からプラットフォームをマッピングし、複製した環境でテストしたのだ。

メドトロニックは10カ月かけて指摘を吟味した結果、ネットワークの安全性向上のための対策をとらないことに決めた。2018年2月公開のプレスリリースで、同社は次のように説明している。

「メドトロニックは社内プロセスを通じて脆弱性評価を行いました。その結果、現在の製品安全性リスク評価基準に照らして、新たな安全上のリスクが発覚することはありませんでした。既存のリスクは抑制できていますし、それでも残るリスクは許容範囲内に収まっています」

ただし同社は18年3月、『ミネソタ・スター・トリビューン』紙上で、ライオスとバッツが指摘した内容の調査に時間をかけすぎたことは認めている。

カンファレンスで示された「証拠」

メドトロニックによるこうした対応では、研究者たちの当初の懸念は払拭されなかった。しかし、同社が独占的に所有するクラウドインフラを調べつくすことはできない。そこで彼らは次に、システムの別の側面に目を向けた。医療器具販売会社やサードパーティーの再販会社からメドトロニックの製品を購入し、実物をいじくり回すことにしたのだ。

ライオスとバッツは、8月上旬に開かれたセキュリティカンファレンス「ブラックハット」において、ペースメーカー専用プログラミング機器がメドトロニックのソフトウェア配信ネットワークと接続する際に、どんな脆弱性があるかを実演で示した。また「デジタルコードサイニング」と呼ばれる、ソフトウェアの正当性と整合性を確認する暗号化認証システムが存在しないという欠陥を突いて、偽のアップデートをインストールさせた。

こうすることで、ハッカーがプログラミング機器を操作することが可能になり、そこからマルウェアをペースメーカー本体に送り込めるのだ。「サイニングを組み込みさえすれば問題は解決するというのに、メドトロニックはなぜかそれを拒否しているのです」と、ライオスは言う。

「競合他社がすでにこの対策を導入していることも、わたしたちは示しました。競合するペースメーカー製造企業のプログラミング機器も当初は同じOSを使用していましたが、後にコードサイニングを導入しました。わたしたちはメドトロニックにもそうするよう勧告し、FDAにデータを提出しました」。ちなみに、問題になったプログラミング機器のOSは、冗談のようだが「Windows XP」だ。

メドトロニックの広報担当者エリカ・ウィンケルスは『WIRED』US版の取材に対し、次のような声明で回答している。

「すべてのデヴァイスにはリスクがあります。わたしたちは規制当局と同様に、当社製品がもたらす利益とリスクを天秤にかけ、慎重に判断しています。メドトロニックは安定した総合的な情報開示プロセスを採用しており、当社の製品とシステムのあらゆるサイバーセキュリティ脆弱性のリスクを真剣に検討しています。ホワイトスコープが指摘した脆弱性については当社でも独自評価をおこない、これに関連する通知を行いました。彼らが指摘した脆弱性に関しては、現時点でそれ以外のものをわれわれは認識していません」

対策に動き出したFDA

メドトロニックは、ライオスとバッツが発見したクラウドの脆弱性については修正をおこなった。以前はハッカーがクラウドに遠隔アクセスして、患者のペースメーカーデータを書き換えるおそれがあったのだ。

同社の情報開示は、DHSによる産業用制御システムに関する勧告集にも掲載されている。そこには、同じくライオスとバッツらが発見した、メドトロニックによるインスリンポンプの脆弱性の項目もあり、外部のハッカーがインスリンを患者に過剰投与する可能性が指摘されている。

一方、バッツとライオスは、DHSの勧告の言葉づかいは曖昧で、攻撃の深刻さを過小評価していると指摘する。例えば、これらの勧告ではすべて「脆弱性につけこんでリモート環境から攻撃することは不可能」とされているが、想定される攻撃手段はインターネット上でHTTPウェブサーバーに接続したり、無線シグナルを操作するといったものだ。

「生きた豚を持ち込もうかと話していたくらいです。iPhoneアプリによって遠隔から豚を殺せば、本当に重大な懸念だとわかるはずですから」と、バッツは言う。「もちろん実際にはやりませんでしたが、本当に大勢が危険にさらされています。体内埋め込みデヴァイスを使用しているほぼすべての人が、ハッキングの対象になりうるのです」

DHSにこの件についてコメントを求めたが、記事公開時点で回答は得られていない。FDAは声明で次のように述べている。

「（FDAは）セキュリティ研究者による調査結果を重視しています。FDAはセキュリティ研究者、業界、学術研究者、医療コミュニティと連携し、医療用デヴァイスの安全性と有効性を確保する取り組みを進めています。医療用デヴァイスは、製品ライフサイクルのすべての段階でサイバー攻撃の危険にさらされる可能性があるからです」

またFDAは、18年4月に公開された「医療用デヴァイスの安全についての行動計画」で、「サイバー医療安全性専門調査委員会」の立ち上げを検討中だとしている。実現すれば同委員会は、このような情報開示について中立的な調査と評価のプロセスを担うことになる。

一方でメドトロニックは、懸念事項は評価済みであり、同社は患者を守るための十分な対策をとっているとの立場を崩していない。ライオスは、「わたしたちはただハッキングを実演して、人々に自分自身で判断してもらうつもりです」と述べた。