McAfee のセキュリティ研究者は、 Defconハッカーイベント 今週のラスベガスでは、 医療ネットワークをハックして改ざんする 患者のバイタルサイン。
この弱点を明らかにすることは、RWHATと呼ばれる医療機器で使用されるネットワークプロトコルのセキュリティを固定するための第一歩です。 しかし、ハッカーたちが生死しい状況でセキュリティを妥協する別の方法を持っていることを知ることは、確かに恐ろしいことです。 このような警告は、連邦保安当局者と黒人帽子と白人帽子のセキュリティ専門家が中立の芝生で交際しているデフコンのコースと同じです。 このイベントの早い段階で、McAfeeは 北朝鮮のマルウェア これは企業のセキュリティ専門家を対象としています。
このプロトコルは、病院で最も重要なシステムのいくつかで使用されていると、マカフィーの研究者Douglas McKeeは書いています。 さらに、マカフィーはリアルタイムでバイタルサインのデータを変更し、医療関係者に誤った情報を提供して、患者が平らに見えるように見せることができました。 彼らは、患者の心拍の表示を5秒以内に80ビートから0秒に切り替えることができました。 究極の目的はデバイスのセキュリティを向上させることであり、悪意のあるハッカーに何か新しい攻撃を与えることではないことは言うまでもない。
マッキー氏は、適切な認証がないと、不正なデバイスをネットワーク上に配置して患者モニタを模倣することができるという。 研究者は、医療機器分野におけるセキュリティの緩和の一般的な欠如、これらの脅威がもたらすリスク、およびそれらに対処する技術に焦点を当てていました。
“近年、医療機器のセキュリティにもっと注意が払われています。 しかし、これらのデバイスで使用されている独自のプロトコルについてはほとんど研究が行われていませんでした」McKee氏は講演の論文で次のように書いています。「医療システムの医療関係者は、 ステーション。 この情報は、一般的でないネットワークプロトコルを使用してネットワーク上の多くのデバイスから収集されます。 医師が投薬を処方したときに、この情報が正確でなかった場合はどうなりますか? 実際に心停止しているときに、患者が平和的に休息していると考えられたら?
McAfeeのAdvanced Threat Researchチームと医師Shaun Nordeckは、患者の状態を監視するために医療機器が使用するネットワークプロトコルの1つであるRWHATプロトコルの弱点について研究しました。 彼らは比較的知られていないプロトコルでセキュリティの問題を説明し、受信中のデバイスに直接影響を与えるように送信中の通信を変更できる現実の攻撃シナリオを示しました。
いくつかの医療機器 ペースメーカー そして インスリンポンプ ブラックハットとデフコンの過去のイベントですでにセキュリティ問題が調査されています。 このデバイスの理解を深めるために、McAfeeの研究者はNordeckからダウンロードを受けました。Nordeckは、不可欠なバイタルサインモニタがどのようにクリニックの患者について決定を下すかを教えてくれました。
上:この患者モニタは、1分間に80ビートの心拍数を示します。
イメージクレジット:McAfee
マッキー氏によると、ほとんどの患者監視システムは、ベッドサイドモニターと中央監視ステーションの2つの基本コンポーネントから構成されています。 これらのデバイスは、TCP / IP(インターネットプロトコル)を介して有線または無線でネットワーク接続されています。 中央モニタリングステーションは、単一の医療従事者が複数の患者を観察できるように、複数のベッドサイドモニタからバイタルを収集する。
研究者はeBayで患者のモニターを購入し、それらを解剖した。 中央モニタリングステーションは、2つのイーサネットポートを備えたWindows XP Embeddedを実行し、起動時に限定キオスクモードで稼動しました。 両方のユニットは2004年頃に生産されました。 いくつかの地元の病院は、これらのモデルがまだ使用中であることを確認しました。
チームは、2つのデバイスをハッキングする方法が複数あることを発見しました。 中央監視ステーションは、Windows XPを実行するデスクトップコンピュータのように基本的に動作します.Windows XPは、セキュリティコミュニティによって幅広く調査されています。 古いソフトウェアには複数の脆弱性がありますが、モニタのファームウェアは悪用されにくいです。 チームはリモート攻撃を可能にするため、2つのデバイス間の通信に焦点を当てました。 彼らは、ダビングされたツールを使用して、デバイス間の通信を容易に観察することができました ウィアシャーク 。 患者データは平文で渡されました。つまり、暗号化されていませんでした。 少なくとも現代的なデバイスでは、それはセキュリティにとって大きなノー・ノーです。
研究チームは、特定の心電図パターンを見れば、ネットワーク上の患者モニタを持たずに中央の監視ステーションに戻すことができることを発見しました。 つまり、患者モニタの代わりにRaspberry Piコンピュータを使用して、発見されずに偽のデータを中央ステーションに送信することができます。
「私たちはリアルタイム修正の目標にまだ達していませんが、この種の攻撃の影響を考慮する必要があります」とMcKee氏は言います。 「誰かが安定した患者のモニタを抜き、同じ安定したバイタルを報告し続けている装置と交換すると、何らかの害を引き起こすだろうか? おそらくすぐにはありません。 しかし、安定した患者が突然不安定になったらどうなるでしょうか? ”
中央駅は通常、適切な処置を取ることができる医療関係者に警告するために警報を鳴らします。 しかし、モニターが交換された場合、誰でも助けが必要であると知っていましたか?
「病院、看護師、その他の個人では、一般的に安定した患者であっても定期的にチェックを行っています。 “だから、どんな欺瞞も長く続かないかもしれないが、それは必要ないかもしれない。 もし誰かが患者を誘拐しようとしたら? 誘拐された人は、予想されるよりも少ない人々に警告するだろう」とNordeck氏は言います。実際の患者モニターと偽の患者モニターの切り替え中に瞬間的なECGデータの消失が検出されない可能性があります。
しかし、マッキー氏によると、チームは他のデバイスを攻撃して攻撃をリアルタイムで行う方法も理解しているという。 彼らは、中央モニタリングステーションではなく患者モニタを偽装するか、またはトリックすることによってそれを行いました。
「この手順では、攻撃者はどのポートが使用されているかを判断し、患者のモニタのデータが中央の監視ステーションに届くのを止めることができます」とMcKee氏は述べています。 「エミュレーションが機能していることがすでにわかっているので、攻撃者は患者のモニタとして見えている間に、単に交換用のデータをセントラルステーションに送信するだけです」
Nordeckは、虚偽の心臓バイタルサインは深刻な影響を及ぼし、不正な医療処置をもたらす可能性があると述べた。
「この種の攻撃の脅威を大幅に軽減する対策を講じることができるのは、製品ベンダーと医療機関の両方です。 ベンダーは、デバイス間のネットワークトラフィックを暗号化し、認証を追加することができます。 これらの2つのステップは、このタイプの攻撃の難しさを大幅に増加させます。