米国FDAがサイバーセキュリティーの脆弱性と医療機器におけるリスクを通知
2019年10月1日、米国食品医薬品局(FDA)は、患者や医療関係者、医療施設スタッフ、製造業者へ向けてサイバーセキュリティーの脆弱性が、特定の医療機器や病院のネットワークにおけるリスクに繋がりうることを通知しました。
セキュリティー専門家によると、コンピューター間のネットワークコミュニケーションを支える“IPnet”や第三者ソフトウェアコンポーネント内に存在する11個の脆弱性(URGENT/11)によって、医療機器の遠隔操作や設定機能の変更が可能であり、それによって医療機器の機能妨害や情報流出等が起こる可能性があります。
製造元にサポートされていないIPnetソフトウェアが、現在も使われ続けている医療機器や産業デバイス中のアプリケーションやシステムに組み込まれている場合もあります。脆弱なIPnetソフトウェアコンポーネントは、これまでに報告されているオペレーティングシステムの全てのバージョンに含まれているとは限りませんが、セキュリティー専門家や医療機器製造業者、FDAは以下のシステムのバージョンに影響があったことを報告しています。
- ● VxWorks (by Wind River)
- ● Operating System Embedded (OSE) (by ENEA)
- ● INTEGRITY (by Green Hills)
- ● ThreadX (by Microsoft)
- ● ITRON (by TRON Forum)
- ● ZebOS (by IP Infusion)
FDAは各医療機器関係者に向けて、本件への対応を推奨しており、今後、さらなる医療機器についてIPnetソフトウェア関連の脆弱性を見つけ出すことを期待しています。
今後もグロービッツでは、FDAのサイバーセキュリティーに関する動向や情報を追ってまいります。また、FDAへの医療機器の申請に関しまして日本語によるサポートを行っております。ぜひお気軽にご相談ください。
