医療機器などで広く使われているIoTの遠隔管理ツール「PTC Axeda」に、このほど深刻な脆弱性が見つかった。脆弱性は合わせて数十万台の機器に存在すると推定され、悪用されれば大きな被害をもたらす可能性がある。
CTスキャナーなどの撮影装置や臨床検査機器のような特殊な医療機器の多くは、病院のネットワーク上で十分に守られていない。こうしたなか、モノのインターネット(IoT)の遠隔管理ツールに7つの脆弱性があることが、このほど明らかになった。この問題は医療機器のみならず、幅広いIoTエコシステムの欠陥を示している。
医療セキュリティ企業CyberMDXの研究者らが、IT企業PTCのIoT遠隔アクセスツール「PTC Axeda」の容易に悪用できる脆弱性7つ(総称は「Access:7」)を、このほど発見した。CyberMDXは、IoTセキュリティ企業のForescoutが2月に買収した企業である。
このツールはあらゆる組み込み機器で使用できるが、特に医療機器で広く活用されている。研究者らによると、このツールをATMや自動販売機、バーコード読み取りシステム、一部の産業用の製造設備などの遠隔管理に利用している企業もある。研究者らは、Access:7の脆弱性が合わせて数十万台の機器に存在すると推定している。 Forescoutが自社の顧客について調べたところ、2,000以上のシステムに脆弱性が見つかった。
「攻撃者は医療機器やその他の機密性の高い情報を扱う機器からデータを抜き取ったり、検査結果を改ざんしたり、重要な機器を使えなくしたり、あるいは完全に乗っ取ったりすることができてしまいます。そうした攻撃がどのような影響を及ぼすか想像できるでしょう」と、Forescoutのセキュリティ研究の責任者であるダニエル・ドス・サントスは語る。
壊滅的な被害をもたらす可能性
脆弱性の一部は、Axedaの隠しコマンドや未認証のコマンドの処理方法に関連するもので、攻撃者はこれを悪用してプラットフォームを操作できる状態だった。ほかにも初期設定の問題、例えば複数のAxedaのユーザーが予測しやすいハードコードされたパスワードを共有していたことが関連している。7つの脆弱性のうち3つは「致命的」、残りの4つは「中度から高度のバグ」という評価だった。
攻撃者はこれらのバグを悪用して患者のデータを取得したり、検査結果やその他の医療記録の改ざんをしたり、医療従事者が必要なときに患者のデータにアクセスできないようにするサービス拒否攻撃(DoS)を実施したり、産業用の制御システムを停止させたりできてしまう。さらにはATMを攻撃する足がかりになることも想定される。
この分野での脆弱性はそう珍しくないが、これらの脆弱性は攻撃者にとって特に悪用しやすい。Access:7のバグが悪用されれば、その被害はハッカーがITサービス企業Kaseyaの提供するマネジメントソフトウェアの脆弱性を突いて仕掛けたランサムウェアの大規模な攻撃による被害に匹敵する可能性がある。製品は異なるものの広く使われていることから、壊滅的な被害をもたらす条件が揃っているのだ。またAccess:7は、根深いIoTの安全性の問題と、長いこと解決されていない脆弱性という大きな課題を指し示している。
利用顧客への周知が重要
研究者らは脆弱性に対するパッチを提供したPTCのほか、米国土安全保障省のサイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)、医療の情報共有組織の「H-ISAC」、米食品医薬品局(FDA)と協力して脆弱性の情報を開示した。
「今回の開示はPTC、CyberMDX、CISAが協力した成果です」と、PTCは『WIRED』US版に声明で説明している。「PTCとCyberMDXは協力して脆弱性について徹底的に調査し、適切な対策を講じました。そしてPTCは開示に先駆けて顧客に通知し、対策を指導しています。その結果、ユーザーの認識が高まり、システムやデータに対する潜在的な脅威を取り除く機会が得られたのです」
IoTの脆弱性の開示における大きな課題のひとつは、顧客や元顧客に通知し、脆弱性を排除するソフトウェアの更新やその他の対策を講じてもらうことだ。修正パッチの適用に伴う重要なシステムが停止するリスクを避けたいAxedaのユーザーは、代わりにネットワークの特定のポートをブロックし、設定を調整するなどの対策をとれる。
この状況で有利だった点は、脆弱性の見つかったデバイスの大半が開かれたインターネットとはつながっておらず、遠隔から直接ハッキングされないことだと、Forescoutのドス・サントスは指摘する。とはいえ、攻撃者がほかの方法で病院や企業のネットワークに侵入した場合、遠隔で脆弱性のあるシステムに入り込めると警告している。
「下流のベンダーが自社のネットワークに存在するどの機器に脆弱性があるのか特定し、製品にパッチを適用する時間がかかります。だからこそ情報の周知が重要なのです」と、ドス・サントスは説明する。「遠隔管理ツールはIoTの現実的な問題に対応するために役立ちますが、その導入や設定方法が問題でした」
これはIoTに何年もつきまとっている問題だ。デバイス、特に機密性の高い情報を扱う医療関連の機器は、簡単に修正パッチを当てられるようになっていなければならない。しかし、そのような遠隔管理の仕組みに欠陥があると、別のリスクを発生させてしまうのである。
(WIRED US/Translation by Nozomi Okuma)
https://wired.jp/article/access7-iot-vulnerabilities-medical-devices-atms/