結論:患者を危険に陥れるのも簡単。
セキュリティ保護を提供するIndependent Security Evaluatorsが発表した論文によると、彼らがテストとして行ったハッキングでは複数の医療施設のシステムに簡単に侵入できたそうです。
彼らが2年かけて行ったこのテストでは12の医療施設、2箇所の医療データセンター、2つの医療テクノロジー・プラットフォーム、2種類の医療デバイスが対象となっており、ハッキングは残念なことに大成功だったようです。USBドライブをコンピューター・ターミナルの近くの床に落としておく、もしくは誰でも使えるようになっているポートに差し込む、など実に初歩的な方法で中枢システムに入り込みコントロールすることができたとのこと。
中でも特に恐ろしいのは、患者のモニターをコントロールすることができた点。アラームを誤作動させたり、誤った数値を表示させるなど、致命的な事故に結びつくような操作もできたようです。さらには薬品提供システムにも入り込むことができたというから医療関係者のショックは大きいようです。間違った薬を患者に出させてしまうこともできるわけですよね...。
病院のシステムがシャットダウンされるのも恐ろしいですが、この論文で明らかになったのは、装置やモニターをコントロールして特定の患者を死に至らせることも可能だということ。
じゃあどうやってこういったハッキングを防ぐの?と誰しも思うわけですが、そこもなかなか一筋縄ではいかなさそうです。
というのもたったひとつ大きなセキュリティ問題があったわけではなく、色々な箇所でちゃんとしたソフトウェアが使われていなかったり、セキュリティに関する施設ポリシーが存在しなかったりとハード・ソフト両面で複数の問題があるようです。
病院がハッキングされること自体は前からありましたが、これまでは患者の個人情報を守る、という点にリソースが注がれてきました。たまたま今回はセキュリティ会社が先に警鐘を鳴らした形になりましたが、今後医療関係者は大幅な改善が求められそうです。
source: Security Evaluators via The Register
Chris Mills - Gizmodo US[原文]
(塚本 紺)