【7月2日 AFP】これまでのところ、医療機器へのハッキングはハッカーによる実演や、小説の中に限られている。

 だが、米規制当局やセキュリティー専門家らは、この脅威が現実だと語る。心臓ペースメーカーから糖尿病治療用のインスリンポンプまで、多種多様な医療機器に悪意を持った何者かが侵入することは可能で、その結果、死がもたらされることもあるという。

 米食品医薬品局(US Food and Drug AdministrationFDA)は今月、「医療機器あるいは病院のネットワーク運用に直接的に大きな影響を及ぼす可能性のあるサイバーセキュリティー上の脆弱(ぜいじゃく)性と事件」があったことを確認したとし、メーカーに警戒を強めるよう呼び掛けた。

 米テレビドラマ「Homeland(ホームランド)」では、副大統領のペースメーカーがハッキングされ、致死性の電気ショックを加えられて死亡する。

 だが、当局関係者らは、医療機器への意図的なハッキング事例についてはまだ確認されたことがないと述べる。「安心できる点は、現実世界ではそうした事件は全く確認されていないことだ。一方で懸念すべき点は、そのような事件の有無を調べる科学(機関)が存在しないことだ」と、医療機器セキュリティーの専門家、米ミシガン大学(University of Michigan)のケビン・フー(Kevin Fu)教授(コンピューター科学)は語る。

 フー氏は、心細動除去器など埋め込み型医療機器の危険性を取り上げた研究報告書を2008年に共同執筆した。埋め込み型医療機器は、システムの無線ネットワークに侵入したハッカーによって再プログラムされる恐れがあるという。

「私に言わせれば、小説の中に登場するような攻撃を受けることよりも、偶発的にマルウエアが機器に入り込むことの方がリスクが大きい」とフー氏は語る。

 セキュリティーサービス企業「IOActive」のバーナビー・ジャック(Barnaby Jack)氏は、ドラマ「ホームランド」のようなシナリオは「比較的現実的」で、近日あるハッカー会合で似たような攻撃を実演するつもりだと語った。

 ジャック氏は、ペースメーカーや除細動器などの埋め込み型医療機器を研究した結果、これらの機器が「特に脆弱であること」を突き止めたという。10~15メートル離れた距離から「特定の機器のデータを遠隔で取り出すために必要な権限を取得することができる」と、同氏は語る。

 公にされている別の事例では、セキュリティー専門家で自らも糖尿病患者のジェイ・ラッドクリフ(Jay Radcliffe)氏が2011年、インスリンポンプにハッキングして注入量を変える実演を行ったことがある。

 セキュリティー専門家は、埋め込み型機器の他にも、病院の監視システムやスキャナー、放射線装置などの設備がセキュリティーの弱いネットワークに接続され、似たようなセキュリティーホールを生み出していることがあると指摘する。心臓や薬剤の監視システムの一部は、ハッキング可能なオープンなWiFi無線接続をしているという。

 また、一部の病院は今もなお「Windows XP」や「Windows 95」といった古い基本ソフトを使っており、攻撃やマルウエアの設置によって、放射線治療や静脈栄養製剤を配合する機器などに影響が出る恐れがあると、フー氏は述べる。

 一方、医療機器に設定されているパスワードも盗まれる可能性がある。セキュリティー企業「Cylance」が試したところ、医療機器のパスワード300個を取得できたと発表したことを受け、米国土安全保障省(Department of Homeland Security)の業務システムに関するサイバー危機即応チームは、手術用機器や酸素吸入器、薬剤注入ポンプその他の医療機器のセキュリティーを向上させる必要があると警告を発した。

 だが、専門家らは、これらの危険性があってもなお、医療機器を使わないよりも使った方が良いと語る。

「誰かの医療機器が悪意のある攻撃の標的になることは極めて低い。命を救うこうした機器に対する信頼感を失ってほしくない」とジャック氏は語った。「ただ、どれだけ危険性が低いとしても、危険性は取り除く必要がある。これらの問題に警鐘を鳴らし、メーカーに脅威を伝え、メーカーがこれらの機器のセキュリティーを向上する対策をとれるようにしなくてはならない」(c)AFP/Rob Lever