「私はペースメーカーに依存しています。 「しかし、医師たちは、私を生かしているコンピューターがインターネットに接続されているかどうか、インターネットに接続できるかどうかを教えてくれませんでした」とマリー・モーは言います。ノルウェーの安全保障研究者は、最初から、彼女の命を維持するインプラントについてもっと知りたいと考えていました。彼女のペースメーカーにはどのようなインターフェースがあるのでしょうか?彼のコードはどのようなものですか?誰がアクセスできますか?
ソフトウェアのアップデートはありません
インプラントには合計 2 つのインターフェイスがあり、そのうちの 1 つは心臓の活動に関するデータを医師に送信するために使用されます。これは、彼女が寝ている間にインターネット接続を通じて行われます。 37 歳の彼女が特に気に入らないのは、彼女の胸部にある重要な装置が彼女と医師たちにとっていかに不可解であるかということです。 「医療機器はブラックボックスのようなものです。これらには独自のソフトウェアが付属しており、セキュリティ チェックに合格するのは困難です。同時に、患者は最大 10 年間体内にデバイスを持ち続けるにもかかわらず、ソフトウェアのアップデートはありません」とモー氏は言います。
そのため、国家コンピュータ緊急対応チーム (CERT) でかつて働いていたセキュリティ専門家は、そのようなデバイスが外部からいかに簡単に麻痺する可能性があるかを認識しています。元米国副大統領のディック・チェイニー氏は、ハッカーの攻撃を恐れてペースメーカーを遠隔操作できる機能をオフにしていただけだった。
さまざまな攻撃シナリオ
彼らの観点からは、デバイスの遠隔制御だけでなく、患者にとって「特に悪い」バッテリーへのサービス拒否攻撃 (DoS) やランサムウェアの使用も可能になります。 「医療機器ではまだこのような現象は確認されていませんが、病院は影響を受けています」とモー氏は言います。ノルウェー人の彼女は、コネクテッド医療機器には人命がかかっているため、セキュリティが最優先であるべきであることを講演で人々に認識させるために世界中を旅しています。
「ハッカー、私の心は折れる。調べてみてください」とアピールする。一部のセキュリティ研究者が彼らの呼びかけに応じたのはつい最近のことです。彼らは、ペースメーカーやインスリン ポンプなどのその他の医療機器に 8,000 件を超えるセキュリティ上の脆弱性を発見しました。これらは、ほとんどの労力と少ない予算で悪用される可能性があります。医療機器メーカーがセキュリティ研究者と協力することを奨励しています。必要に応じて、より厳格な法的規制も制定する必要がある、と専門家は言う。
ソフトウェアエラーにより息切れが発生する
専門家は、彼女自身のペースメーカーがすでにデータエラーとソフトウェアのバグの影響を受けていると述べています。その後、デバイスは自動的に安全モードに切り替わり、心拍数が 1 分あたり 70 拍まで低下したと彼女は言います。彼女は階段を上るのが困難で、呼吸も困難でした。当初、病院では問題がすぐには認識されませんでしたが、その後、バックアップがインポートされ、ファームウェアが再ロードされました。 「私は幸運でした。この技術によって私の命が救われたことも嬉しく思います。このメリットはリスクを上回ります」とモー氏は言います。 「しかし、それは私たちがこの安全性の問題に直面する必要がないという意味ではありません。」
この記事は、mirai.click に初めて掲載されました。