米食品医薬品局(FDA)は10月1日、インターネットに接続した医療機器がハッキングされるリスクに注意を促すニュースリリースを発表した。今年7月に米国土安全保障省が、ネットワーク通信に使われているソフトウエアであるIPnetに11カ所の脆弱性(URGENT/11)が見つかったと公表したことに関連する通知。なお、現時点ではこの脆弱性に起因する医療機器関連の有害事象は報告されていない。
発表された通知では、無線LANや公共または家庭用のインターネットなどのネットワーク、ルーター、電話、その他のコミュニケーション機器に接続されている複数のオペレーティングシステムについて、ハッキングの懸念があるとしている。ハッカーがこれらの機器の脆弱性に付け込んで乗っ取れば医療機器をコントロールし、機能の変更や機能停止、あるいは情報漏洩を引き起こすことも可能という。
FDAや通信プログラム関連メーカー、セキュリティー専門家によると、URGENT/11の脆弱性を含むIPnetが使われているのは次に挙げるオペレーティングシステム。ただし、これらのシステムの全バージョンに脆弱性があるとは限らない。
- VxWorks(Wind River社)
- Operating System Embedded (OSE)(ENEA社)
- INTEGRITY(Green Hills社)
- ThreadX(Microsoft社)
- ITRON(TRON社)
- ZebOS(IP Infusion社)
FDA首席副長官のAmy Abernethy氏は、「先端医療機器により、安全で便利かつタイムリーな医療的ケアが可能となる一方、コミュニケーションネットワークに接続された医療機器にはサイバーセキュリティー上の脆弱性があり、悪用されれば患者が被害を受ける可能性がある」と現状を解説。「FDAは医療機器に関する警戒を継続し、脆弱性リスクを監視し評価するとともに、メーカーに対して脆弱性の存在やその解決策に関する情報を積極的に公開するよう呼び掛けている」と述べている。
今回明らかになった問題に関してはこれまでのところ、実際に医療機器がハッキングされたとの事例はFDAに報告されていないが、「仮にこのような脆弱性が放置されたままだと患者が被害を受けるリスクは甚大なものとなり得る」と警鐘を鳴らす専門家もいる。過去にはインスリンポンプやペースメーカーがハッキング可能であることが実験的に示されたり、植え込み型ペースメーカーがハッキングの懸念のためリコール対象になったことがある。
現在FDAは、メーカーと協力し脆弱性が存在する製品の特定作業を行うとともに、潜在的なハッキングを阻止する対策を進めている。また、ネットワーク通信に接続されている医療機器を使用中の患者に対し、自身の機器が影響を受けるかどうか主治医に確認し、もし機器の機能設定が変更されていることに気づいたら、直ちにサポートを求めるよう呼び掛けている。(HealthDay News 2019年10月1日)
(参考情報)
News Release
https://www.fda.gov/news-events/press-announcements/fda-informs-patients-providers-and-manufacturers-about-potential-cybersecurity-vulnerabilities