Protect Against Russia-Ukraine Cyber Activity

[2022-03-04 14:30 PST の内容を反映] 医療機関にセキュリティを: 調査対象輸液ポンプの75%に脆弱性かアラート

By

Category: Unit 42, Vulnerability

Tags: , ,

A conceptual image representing medical device security, including concepts such as the infusion pump vulnerabilities discussed here.

This post is also available in: English (英語)

概要

Unit 42は最近、病院などの医療機関がスマート輸液ポンプの安全確保においてどの程度成果をあげられているのかを把握する調査を行いました。スマート輸液ポンプは患者に薬剤や輸液を供給するための、ネットワーク接続された機器で、これらにセキュリティ上の不備があれば患者の生命が危険にさらされたり、機微データを漏えいしかねません。このためこのテーマは非常に重要な問題となっています。

今回の調査では、パロアルトネットワークスのIoT Security for Healthcareを使い、病院など医療機関のネットワーク上にある20万台以上の輸液ポンプをスキャンしたクラウドソーシングデータを検証しました。結果、検査した輸液ポンプの75%に既知のセキュリティ問題があり、攻撃者による侵害をゆるしかねないという憂慮すべき状況であることがわかりました。なお、ここでいうセキュリティ問題には、「約40種類ある既知のサイバーセキュリティ脆弱性の1点以上を有していること」、「『IoTデバイスに関するその他約70種類の既知のセキュリティ問題の1点以上を有する』というアラートを受けたこと」が含まれます。

今回最もインパクトの強かった調査結果の1つは「スキャンされた全輸液ポンプの52%で、2019年に公開された2つの既知の脆弱性(1つは深刻度スコア「緊急(critical)」、もう1つは深刻度スコア「高(high)」)による影響を受ける可能性がある」というものでした。

医療機器メーカー、セキュリティリサーチャー、サイバーセキュリティベンダ、規制当局が、輸液ポンプその他の接続型医療機器の使用に関連するサイバーリスクの把握に過去10年取り組んできたおかげで、既知の脆弱性やこれらの機器を保護するためのアプローチに関する膨大な情報がすでに存在しています。たとえば、米国食品医薬品局(FDA)は、2021年に輸液ポンプまたはその部品に関するリコールを7件2020年にはその他のリコールを9件公開しています。

またデバイス情報の標準化、デバイス製造時のセキュリティ基準確立を目指した産業界政府主導の取り組みも行われています。しかしながら、輸液ポンプは寿命が平均8〜10年あり、これら旧型機器の普及はセキュリティ向上の妨げになっていますし、セキュリティ衛生全般を損なう要因 (たとえばネットワークのセグメンテーション化が不十分であったり、運用プロセスのセキュリティに関するベストプラクティスが実施されていない、医療従事者に対するセキュリティ教育が不十分、など) も根強く残っています。

調査対象となった輸液ポンプの4台中3台にセキュリティ問題が見つかったことは、医療業界が輸液ポンプや病院ネットワークのベストプラクティスに真摯に従い、既知の脆弱性からの保護努力も重ねる必要性があることを浮き彫りにしています。

パロアルトネットワークスのIoTセキュリティプラットフォームをお使いの医療機関のお客様は、管理下/管理外デバイスの発見とそれらデバイスに関連するリスクの特定、リスク低減ポリシーの適用、既知の脅威に対する組み込み済みの防止策、さらに未知の脅威の検知・対応を通じ、ここで取り上げた脆弱性から保護されています。

本稿で扱うCVE CVE-2019-12255、CVE-2019-12264、CVE-2016-9355、CVE-2016-8375、CVE-2020-25165、CVE-2020-12040、CVE-2020-12047、CVE-2020-12045、CVE-2020-12043、CVE-2020-12041
Unit 42の関連トピック IoT devices

目次

輸液ポンプの脆弱性の深刻度
輸液ポンプで確認された脆弱性の種類
機微情報の漏えい
オーバーフローと不正アクセス
サードパーティ製TCP/IPスタックにおける脆弱性
輸液システムでよく確認されたセキュリティアラート
輸液ポンプのセキュリティ確保に積極的に取り組む
結論
追加リソース
付録A

輸液ポンプの脆弱性の深刻度

輸液ポンプの数は大規模病院や診療所では数千台にもおよびます。機械の故障やサイバーセキュリティの脆弱性によるリコールは、サプライチェーンマネージャー、臨床工学技士、ITセキュリティチームにとっては不安の種です。リスクのあるデバイスは特定され、発見され、所定のリコールの指示に従って廃棄または修理されなければなりません。修理、メンテナンス、ソフトウェアパッチやアップデートなど、求められる内容がなんであれ、その見落としやミスは患者の生命や機微情報を危険にさらすことになりかねません。

最近私たちは、パロアルトネットワークスのIoT Security for Healthcareをご利用のお客様から提供されたクラウドソースデータを用いて、医療機器メーカー7社による20万台以上の輸液ポンプを分析し、これらの機器にセキュリティ脆弱性がいくつあるか、またそれらはどのような種類の脆弱性かを確認しました。今回の分析では、パロアルトネットワークスのIoTセキュリティプラットフォームがそれらのデバイスに40種類以上の脆弱性と70種類以上のセキュリティアラートをみとめ、分析した輸液ポンプデバイスの75%に1つ以上の影響があることがわかりました。ここでは、そのうち最も多く観測された脅威と脆弱性に焦点を当てます。

下の表は、スキャンデータの分析から、最も多かった脆弱性10件を特定したもので、CVE番号、深刻度スコア、そしてスキャンされた輸液ポンプのうちその脆弱性の影響を受けるものの割合を記載しています。スキャンしたデバイスの52%は、2019年に公開された深刻度スコア「緊急(critical)」と「高(high)」の上位2つのCVEに対し脆弱であるというフラグが立てられました。

輸液ポンプにおける脆弱性トップ10と脆弱性のある輸液ポンプの割合 

(パロアルトネットワークスIoTセキュリティによる確認)

CVE 深刻度
(スコア)
分析した輸液ポンプのうちそのCVEが該当する割合
1 CVE-2019-12255 9.8 (緊急) 52.11%
2 CVE-2019-12264 7.1 (高) 52.11%
3 CVE-2016-9355 5.3 (中)  50.39%
4 CVE-2016-8375 4.9 (中) 50.39%
5 CVE-2020-25165 7.5 (高) 39.54%
6 CVE-2020-12040 9.8 (緊急) 17.83%
7 CVE-2020-12047 9.8 (緊急) 15.23%
8 CVE-2020-12045 9.8 (緊急) 15.23%
9 CVE-2020-12043 9.8 (緊急) 15.23%
10 CVE-2020-12041 9.8 (緊急) 15.23%

表1 分析した20万台以上の輸液ポンプで最もよく見られた脆弱性トップ10

注意: 表1に記載したCVEのうち5件は、BD Alaris製輸液ポンプに影響を及ぼす可能性のある、過去に公開された脆弱性です。これらの脆弱性は、もともと2017年、2019年、2020年に当該メーカーにより公開されており、それぞれに対応する情報がBD Cybersecurity Trust Centerに公開されています。各情報へのリンクを付録Aに記載します。BDは、これら脆弱性を修正するソフトウェアアップデートを提供しており、2021年7月に利用可能になったBD Alaris PCUバージョン12.1.2へのアップデートを同社顧客に推奨しています。表1の残り5件は、BD製品とは関係のない脆弱性です。

輸液ポンプで確認された脆弱性の種類

今回調査した輸液システムで特によく見られた脆弱性は、もたらす影響により「機微情報の漏えい」、「不正アクセス」、「オーバーフロー」など複数のカテゴリに分類できます。このほかの脆弱性として「サードパーティのTCP/IPスタックに起因するもの」がありますが、これはデバイスとそのオペレーティングシステムに影響を与える可能性があります。

機微情報の漏えい

輸液ポンプシステム、もっといえばIoMT(医療IoT)機器全体では、「機微情報の漏えい」に関連する脆弱性が多数存在することが確認されました。この種の問題に脆弱なデバイスは、運用情報や患者の固有データ、デバイスやネットワーク設定のクレデンシャル(認証情報)を漏えいさせる可能性があります。これらの脆弱性を悪用しようとする攻撃者にはさまざまなレベルのアクセス権が必要です。たとえば、平文通信チャネルに特化したCVE-2020-12040の場合、中間者攻撃により、攻撃者がリモートからこれを悪用し、輸液ポンプとサーバー間のすべての通信情報にアクセスできるようになります。一方、CVE-2016-9355とCVE-2016-8375の場合、輸液ポンプ装置に物理的にアクセスできる者が悪用して機微情報にアクセスできます。このため攻撃の可能性は低くなりますが、特定の動機を持つ攻撃者にとってはまだ可能性が残されていると言えます。

オーバーフローと不正アクセス

その他、オーバーフローやアクセス制御の不備に関連する脆弱性の場合、認証されていないユーザーにデバイスへのアクセス権限を与えたり、特定形式のネットワークトラフィック送信によりデバイスの応答不能や予期せぬ動作を引き起こすことが可能で、医療機関でこれが起きると病院の運営や患者のケアに支障がでかねません。また不正アクセスがもたらすリスクは脆弱性の悪用成功だけにとどまりません。検索すればすぐに見つかるデフォルトのクレデンシャルを使い続けることもIoT機器全般における大きな問題です。医療機器と同じ院内ネットワークにいる人であれば誰でも医療機器に直接アクセスできるからです。

サードパーティ製TCP/IPスタックにおける脆弱性

最後に、輸液システム自体の脆弱性を認識するだけでは十分ではありません。多くのIoMT(およびIoT)機器とそのOSは、ネットワークスタックなどでサードパーティ製のクロスプラットフォームライブラリを使用しており、これらのライブラリには当該機器に影響を与えうる脆弱性が存在することがあります。たとえば、CVE-2019-12255とCVE2019-12264の場合、脆弱性のあるTCP/IPスタックIPNetがAlaris Infusion PumpsのENEA OSのコンポーネントに使われているためにデバイスが脆弱になります。

輸液システムでよく確認されたセキュリティアラート

全体として、輸液システムに関する一般的なセキュリティアラートのほとんどは、「インターネットに接続されている」、「デフォルトのユーザー名とパスワードが使用されている」などの、デバイスの所有者が把握すべき攻撃手段を示すものでした。一方、ML(機械学習)を活用した継続的監視があれば、輸液システムの挙動に不審な点があっても進行中の潜在的攻撃を迅速に特定することができます。振る舞い異常や不正使用を呈するデバイスにフラグを立てることはシステムへのゼロデイ攻撃やリアルタイムの攻撃を特定するうえで極めて重要です。

以下は、私たちが分析した輸液ポンプで最も多く確認されたセキュリティアラートの内容です。

輸液システムで最もよく観測される10のセキュリティアラート
(パロアルトネットワークス IoTセキュリティによる)

アラートのタイトル インパクトと適応
1 Excessive count of TCP reset packets sent from unestablished connections (未確立のコネクションから送信されるTCPリセットパケット数が多すぎる) ローカルネットワーク外の接続から送信される大量のリセットパケットは、未承認の宛先への接続を継続的に試みていることを示し、デバイスの異常な振る舞いを示唆する可能性があります。 
2 Invalid User Agent string (garbage values) observed in an HTTP request in IoMT device (IoMT デバイスの HTTP リクエストに無効なUser-Agent文字列 (無意味な値) が観測された) User-Agent文字列に無意味な値が入っている場合それは不審な振る舞いを示している可能性があります。輸液システムと対応する送信先とのネットワーク接続をより詳細に監視する必要があります。
3 Unencrypted sensitive login information observed in an HTTP request (HTTPリクエスト内に暗号化されていない機微なログイン情報が観測された) HTTPプロトコルでは暗号化を行わないため、HTTPプロトコル経由の機微情報は悪意のある者によって容易に監視され、機器や患者に関する情報を漏えいする可能性があります。 
4 Manufacturer factory default username and password in inbound HTTP login (インバウンドHTTPログインにメーカーの出荷時設定のユーザー名とパスワードが使われている) 工場出荷時のクレデンシャルを使用してHTTP経由で機器にログインすることは、セキュリティ上重大な懸念があります。これらのクレデンシャルは、オンラインやマニュアルで簡単に見つけることができ、誰でもアクセスできます。 
5 Suspicious (high and not commonly observed) port number in network traffic (番号が大きく、通常は観測されなない疑わしいポート番号がネットワークトラフィックで使われている) 輸液システムの送受信トラフィックに、不審なポート番号や異常な数の通信が観測されています。このような異常な振る舞いは、デバイスをより注意深く監視する必要があることを示しています。 
6 Unsecured outbound HTTP connections from IoMT device to the internet (IoMTデバイスからインターネットへ安全でないアウトバウンドのHTTP接続が行われた) すべての輸液システムについて、暗号化されないプロトコルであるHTTP経由でローカルネットワーク外のインターネットへアウトバウンド接続を行うことは避けるべきです。それらの通信は院内ネットワークや特定医療用VLAN内機器内に限定する必要があります。
7 FTP anonymous login (without specific username/password) via local network (特定のユーザー名/パスワードを指定しないFTPへの匿名ログインがローカルネットワーク経由で行われた) 適切なクレデンシャルを指定しない匿名ログインは、悪意のある振る舞いを示す可能性があるためそのデバイスにはフラグを立てる必要があります。
8 Manufacturer factory default username and password in inbound FTP login (インバウンドFTPログインにメーカーの出荷時設定のユーザー名とパスワードが使われている) セキュリティ上、HTTP同様に工場出荷時設定のままのFTPのクレデンシャルは使ってはいけません。 
9 Unsecure outbound FTP connections from IoMT device to the internet (IoMTデバイスからインターネットへ安全でないアウトバウンドのFTP接続が行われた) 医療機器からインターネットへのアウトバウンドHTTP接続同様、病院ネットワーク外のFTP接続は医療機器への攻撃リスクにつながります。 
10 Unsecure HTTP service hosted on the IoMT device (IoMTデバイスに安全でないHTTPサービスがホストされている) ミッションクリティカルな医療機器であり、機微データも保持している輸液システムにHTTPサービスをホスティングすれば、セキュリティ攻撃のリスクが上昇します。  

表2 分析した20万台以上の輸液ポンプで最もよく見られたセキュリティアラートトップ10

輸液ポンプのセキュリティ確保に積極的に取り組むには

医療機関が脆弱なIoMTデバイスを既知・未知の脅威から守るにはデバイスの識別・アラートだけでは不十分です。医療環境には無数の機器が存在しているため、アラート発報だけではリスクが高く現実的といえません。くわえて、アラートのみのソリューションは防止用にサードパーティーシステムとの統合が必要となるので、そうしたシステムの導入管理もだんだん煩雑になってきます。医療機関のセキュリティチームは、管理外デバイスも含めて保護してくれる予防策を組み込んだIoTセキュリティ技術を必要としています。

脅威の蔓延、業務用デバイスの多さ、デバイスのリスクや振る舞いへの可視性の欠如が相まって、セキュリティ課題の克服は不可能であるように感じることがあるかもしれません。しかしながらよいニュースもあります。適切な戦略と適切なセキュリティ技術があれば、医療ITチームと臨床工学チームがすべてのIoMTデバイスを管理・保護し、患者の安全確保に必要な可視性を手に入れることができます。

以下に医療機関向けのIoMTセキュリティ戦略・技術を評価するさい考慮すべき主な機能を紹介します。

  1. デバイスの正確な発見とインベントリ管理: モバイル機器やレンタル機器を含むすべての輸液ポンプを迅速に発見し、設置場所を特定し、使用状況を評価できることがチームには求められます。輸液ポンプの発見は、正確なインベントリ管理をサポートします。この情報は資産管理やServiceNowなどのCMMS(コンピュータによる保守管理システム)ソリューションと共有することができます。利用状況を把握すれば、調達計画をたてやすくなり、利用頻度が低くコストの高いレンタル機器を排除しやすくなります。位置情報機能は、予防のための保守計画や手動での問題修復に便利です。
  2. 包括的なリスク評価: 包括的なリスク評価により、セキュリティチームは、脆弱性を積極的に発見し、コンプライアンス上の問題を特定できます。機械学習駆動型の知見を提供できるシステムは、振る舞いのベースラインを確立し、深いリスク評価の提供に役立ちます。これには、脅威の指標(デバイス間の異常な接続や悪意のあるファイルの存在など)を監視することが含まれます。またこれは、デフォルトのパスワード、サポートが終了しているオペレーティングシステム、アプリ、デバイス、古いプロトコルなどの問題を監視することも意味します。またCVEを監視し、FDAのリコールやMDS2情報、ePHI情報、ベンダのパッチ情報、パッチレベルなどの追加要因を考慮して、コンテキストに応じてそれらCVEを評価することも重要です。最後に、Qualys、Rapid 7、Tenableなどのサードパーティの脆弱性管理システムとの統合による機能拡張でリスク評価戦略を強化すると、輸液ポンプのさらなる脆弱性スキャンが可能になります。
  3. リスク低減ポリシーの適用: IoMTのリスクを積極的に低減するためには、リアルタイムのリスク監視、レポート、アラートが重要です。デバイスのアクティビティと振る舞いを一貫してプロファイリングすることで、リスクベースのゼロトラストポリシー勧告に正確に変換可能なデータを得ることができます。このアプローチにより、セキュリティチームは信頼のおける振る舞いのみを自信を持って許可し、必要に応じて輸液ポンプを他のITや医療機器から分離することで攻撃対象領域を縮小できます。たとえば、患者の生命を支えるミッションクリティカルなデバイスは、サーバーや臨床ワークステーションとの通信用に独自の分離されたVLANを持つべきです。このようなデバイスからのアウトバウンドトラフィックは、機微情報漏出を示す可能性があり、まさに憂うべきものとなります。
  4. 脅威の防御: IoMTデバイスは多種多様なので、脅威緩和にむけた迅速な対応には、輸液ポンプデバイスに対する既知の脅威の検出・防止に関し、実用的な知見が求められます。組み込みの防止機能は、既知の標的型IoTマルウェア、スパイウェア、エクスプロイトをブロックし、C2へのDNSの利用を防止し、不正URLや悪意のあるWebサイトへのアクセスを遮断し、機密データの漏出を防止するのに役立ちます。

パロアルトネットワークスは医療関連組織のお客様と緊密に連携し、医療システム全体のセキュリティ問題・コンプライアンス問題の縮小に努めています。

結論

調査対象となった20万台の輸液ポンプの75%は、少なくとも1つの脆弱性があるか、少なくとも1つのセキュリティアラートを発報していました。これらの脆弱性やアラートのなかには組織内に物理的に存在しないと攻撃に利用できないものもありますが、いずれにせよ医療機関のセキュリティ全般と患者の安全に対する潜在的なリスクを呈示するものであり、とくに攻撃者が標的の攻撃に特別なリソースを投入する動機をもつような状況ではそのリスクは顕著です。

攻撃対象領域の拡大、攻撃ベクトルのかつてない巧妙化など、現在の医療機関は新たなレベルの洗練された医療機器セキュリティを定義すべき時期に来ていると言えるでしょう。拡張性がありつつも無理なく維持・エンフォースが行える、そんな安全な臨床・デバイスワークフロー管理の実施を成功させるには、ネットワークセキュリティチーム、臨床サポートチームの両チームにとって、医療機器の保護管理にまつわる運用負荷を緩和してくれるアプローチをとる必要があります。

IoTセキュリティプラットフォームは、ネットワーク上のデバイスを正確に識別し、デバイスプロファイルの脆弱性・露出状況・セキュリティアドバイザリ評価によりリスクを評価し、ML駆動の継続的監視により異常を検出し、既知・未知の脅威を含むこれら脆弱性を悪用した攻撃に対する自動ゼロトラストポリシーの推奨・エンフォースで組み込み対策を有効にすることで、これらのセキュリティリスクからお客様を保護します。

追加リソース

Windows XP、Server 2003のソースコードの漏洩で明らかになったIoT、OTデバイスの脆弱性
The Healthcare CISO’s Guide to IoMT Security (医療機関のCISOのためのIoMTセキュリティガイド)
Zero Trust Security Guide for Healthcare (医療機関のためのゼロトラストセキュリティガイド)

付録A

BDは本稿に記載した脆弱性に対し製品セキュリティ情報を公開しています。その内容は以下の通りです。

CVE メーカーによる脆弱性の開示 公開日
CVE-2019-12255 Interpeak IPNET TCP/IP stack vulnerability 2019年10月1日
CVE-2019-12264 Interpeak IPNET TCP/IP stack vulnerability 2019年10月1日
CVE-2016-9355 Potential Physical Access to Wireless Credentials Alaris™ PC Unit (PCU) (model 8000) 2017年2月6日
Potential Physical Access to Wireless Credentials Alaris PC Unit (PCU) (model 8015) 2017年1月
更新: 2017年10月11日
更新: 2021年3月16日
CVE-2016-8375 Potential Physical Access to Wireless Credentials Alaris™ PC Unit (PCU) (model 8000) 2017年2月6日
Potential Physical Access to Wireless Credentials Alaris PC Unit (PCU) (model 8015) 2017年1月
更新: 2017年10月11日
更新: 2021年3月16日
CVE-2020-25165 BD Alaris™ 8015 PC Unit and BD Alaris™ Systems Manager Network Session Vulnerability 2020年11月12日

他のベンダでも上記以外の脆弱性のアドバイザリを公開している可能性があります。

2022-03-07 12:15 JST 英語版更新日 2022-03-04 14:30 PST の内容を反映