マンモグラフィ装置や放射線システム、超音波機器には、可能な限り厳格なコンピューターウイルス対策が施されていると、誰もが考えていることだろう。しかしながら、83パーセントというとてつもない比率の医療用画像診断装置について、使用しているOSが古すぎることでソフトウェアがまったく更新されない状態にあることが、新たな研究で判明した。

これは、IoT（モノのインターネット）機器全体に特有の問題である。多くのIoT機器が、ソフトウェアの更新を受けられるように設計されていないか、複雑な更新方法しかなかったりする。

しかし医療機器の分野は、とりわけ厄介な要素をはらんでいる。特に旧式のOSを使っている機器が2018年以降に56パーセントも増えている現状では、なおさらだ。こうした比率の増加は、マイクロソフトが1月に「Windows 7」のサポートを打ち切ったことに主な原因がある。OSで新たな脆弱性が見つかっても、Windows 7で動いている機器はパッチを受けられなくなるからだ。

無差別攻撃に晒されるリスク

今回の発見は、必ずしも医療用画像診断装置の83パーセントにすぐさま攻撃される危険があるという意味ではない。脆弱性のある機器をオープンなインターネットに晒さないようにし、ファイアーウォールで保護し、異常な活動やアクセスを監視できるネットワークに含めることでリスクを管理することは可能だ。

しかし、そのような対策には計画を要する。非常に多くの医療用画像診断装置が世界中の医療機関に潜んでおり、旧式のOSによって無防備な状態に置かれている状態では、適切な保護がすべての機器に及んでいない可能性は高い。

「Windows 7は長い間、多くのユーザーにとって安定したOSでした。それにIoTデヴァイスを構築する際に求められたOSでもありました」。今回の研究を実施したエンタープライズセキュリティ企業Palo Alto Networksで脅威インテリジェンス担当部長を務めるライアン・オルソンは語る。「OSのサポート期間は最終的には切れてしまうのです。Windows 7は長く販売されていましたから、いずれサポートが切れることはわかっていました。それでも医療関係も含め、IoTデヴァイスの更新は一般的に多くの組織にとってハードルが高いのです」

Palo Alto Networksの研究者は、医療サーヴィスのネットワークにあるほかのコンピューターから医療機器を切り離す必要性について、医療サービス提供者の間で認識が高まっていることに気づいた。将来に希望がもてる傾向である。

機器を切り離すためのサブネットワークを整備している病院は17年には12パーセントにとどまっていたが、19年には44パーセントが整備している。しかしこの数字は、病院以外の医療施設は言うまでもなく、大部分の病院でいまだに整備が進んでいないことも意味しており、オルソンもその点を強調する。

サブネットワークがなければ、医療サーヴィスのネットワークに足がかりを確保した攻撃者が、未修正のOSのバグが含まれた医療用画像診断装置にアクセスし、そこからシステムに深く侵入する可能性がある。マルウェアが医療機器を特に標的にしていなくても、OSの脆弱性のために機器がリスクに晒される。ネットワークに接続されたあらゆる種類のコンピューターを感染させるような、無差別なワームのリスクだ。

アップデートが適用できない事情

医療機関がとりうる防御措置以外にも、機器メーカー自身が潜在的な損害を抑えるような対策をとる必要がある。OSのサポートが切れても安全に稼働するように設計された製品もあるだろう。しかし、IoTセキュリティの全体的な実績（特に医療機器の安全性）を考えると、多くのメーカー、さらには大部分のメーカーが具体的な防御プランに基づいて機器を構築している可能性は低い。

より基本的な問題もあるのだと、非営利団体「Atlantic Council」のサイバーセーフティイノヴェイションフェローのボウ・ウッズは指摘する。医療機器のOSが最新版で完全にサポート対象だったとしても、しかるべき更新すら適用されていない機器も多いのだ。旧式のOSは問題を複雑にしているにすぎない。

「リスクは積み重なっていきます」と、ウッズは言う。「しかしながら旧式のOSからは、以下のような事態も想定されます。それは何らかの緊急事態が起きた際に、医療機器メーカーが修正プログラム（パッチ）を公開して病院がそれを適用しなければならない場合でも、障害の少ない明確な方法がないということです」

すでに使用されている製品については、より優れた更新のメカニズムをあとから追加することは実質的に不可能だ。しかし医療サーヴィス提供者は、機器購入の際に更新可能性を大きな優先事項とし、より柔軟な設計をメーカーに促すことはできる。医療機関はその一方で、いままさに老朽化しているインフラの評価を行う必要があるだろう。

※『WIRED』によるWindowsの関連記事はこちら。