LifecarePCAは、入院患者向けの薬剤注入装置で、必要な患者の腕に適切な量の薬剤を正確に直接投与するように設計されています。正常に動作すれば、機械の精密さによって人為的ミスを防ぎ、ケアを容易にします。しかし、悪意のある人物がシステムを乗っ取った場合、鎮痛剤のバイアルを一度にすべて患者に注入してしまう可能性があります。セキュリティ研究者のビリー・リオス氏による最近の研究によると、LifecarePCAシステムとホスピーラ社の他の5種類の薬剤投与装置は、投与される薬剤の量を改変できるハッキングに対して脆弱です。
ポンプは薬剤ライブラリにアクセスします。これは、患者の年齢、性別、体重に基づいた適切な投与量制限などの重要な情報を含むデジタルリファレンスで、機械が誤って有害な量を投与するのを防ぎます。この機械は非常に信頼性が高く、病院のネットワーク上の薬剤ライブラリにアクセスする際は、それが正しいライブラリであると想定し、認証を求めません。つまり、病院のネットワークにアクセスできる人なら誰でも、特定の薬剤の量を大幅に増やしたり減らしたりできるという新しいライブラリをアップロードできる可能性があるのです。
これだけでも深刻な問題です。さらに悪いことに、デバイスには別の脆弱性があり、攻撃者がファームウェアを改変することで、デバイスに不正確な投与量を指示することが可能です。ファームウェアはメーカーによってデバイスにプリインストールされているもので、通常は気づかれないバックグラウンドソフトウェアです。メーカーは製品にバグがあることに気付くとファームウェアのアップデートをリリースしますが、ほとんどのユーザーはそれを直接操作することはありません。
しかし、企業がファームウェアアップデートを送信してからマシンがそれをチェックするまでの間には認証プロセスがありません。そのため、ハッカーが悪意のある「ファームウェアアップデート」を送信し、マシンを騙して致死量の薬を投与してしまう可能性があります。通常、マシンはこれらの投与量を薬物ライブラリと照合し、誤っている場合は警告を発しますが、薬物ライブラリが改ざんされていれば、高用量の投与に気付かれません。リオス氏の調査によると、この種の悪意のあるハッキングによる影響は甚大ですが、企業がマシンに認証を求め、正式なアップグレードのみが実行されるようにすれば、ハッキングの可能性は大幅に低下します。
医療機器のハッキング事件の多くと同様に、今回のハッキング事件に対する衝撃は「こんな機械は致命的な改ざんを誘発する」というよりは、「ドアに鍵をかけないなんて信じられない」という感じに近い。リオス氏のようなセキュリティ研究者は、企業が想定していなかった、あるいは対応が遅れている可能性のある機器の問題を、致命的な脆弱性となる前に事前に探り出す。リオス氏はこの件に関する初期調査を、医療機器の監督・規制機関であるFDAに報告した。FDAは先月、ポンプの脆弱性に関する警告を発表した。
有線
