最近、中国で製造された医療モニターがサイバーリスクに関する注目を集めています。この問題は、米国の医療システムにおける中国製医療機器の普及によって引き起こされている懸念に直結しています。医療機器の専門家によると、今回の問題は決して単独ではなく、システム全体に影響を与える可能性があります。
特に、Contec CMS8000は、心電図、心拍数、血中酸素飽和度、非侵襲的血圧、体温、呼吸数などのバイタルサインを追跡する人気の医療モニターです。最近では、米国食品医薬品局(FDA)とサイバーセキュリティおよびインフラストラクチャー安全局(CISA)がこの機器に対して「バックドア」の存在を警告しました。これは「悪意のある攻撃者がデバイスの構成を変更することを可能にする、簡単に悪用できる脆弱性」です。
CISAは、「異常なネットワークトラフィック」が確認され、バックドアが「確認されていないリモートファイルをダウンロード・実行することを可能にする」ことを報告しました。この通信先は医療機器の製造元や医療施設とは無関係な第三者の大学であり、医療機器において一般的に受け入れられている基準に反する「非常に異常な特性」であるとされています。この機能が実行されると、デバイス上のファイルが強制的に上書きされ、最終的な顧客である病院がどのソフトウェアが実行されているのか把握できなくなります。
CISAの警告によれば、このような構成変更は、患者の腎臓に障害がある、または呼吸が失敗しているなどの誤った情報を医療スタッフに提供する恐れがあり、その結果、不必要な治療が行われる可能性があります。
医療機器およびITの専門家は、医療機器のセキュリティはあまりに甘いと長年警告してきました。西海岸のウェストクリフ大学のビジネス教授クリストファー・カウフマン氏は、「これは今後大きな問題になる」と述べ、中国製医療機器の普及の危険性を指摘しています。
アメリカ病院協会(AHA)は、中国製医療機器の普及をシステムに対する深刻な脅威と見なしており、Contecモニターに関する問題は緊急に対処すべきだとしています。AHAのサイバーセキュリティとリスクの国家顧問であるジョン・リギ氏は、「患者に対する危害の可能性を一番に考え、ハッキングされる前にパッチを当てなければならない」と強調しました。しかし、CISAからは、リスクを軽減するためのソフトウェアパッチが現時点では利用できないという報告があります。
Contecの本社は中国の秦皇島にあり、今回の件に関するコメントは未だに寄せられていません。また、米国におけるモニターの数が不明であることも問題です。リギ氏は「病院では機器の数量が膨大なため、モニターが何千台存在しているか推測すらできない。この脆弱性は非常に重大だ」と述べ、中国がデバイスにアクセスすることで、戦略的、技術的、供給連鎖のリスクが生じると警告しています。
FDAは短期的な対策として、医療システムや患者に対して、デバイスがローカルでのみ稼働していることを確認するか、リモート監視を無効にすることを推奨しています。また、リモート監視が唯一の選択肢である場合は、代替手段があればそのデバイスの使用を中止するよう呼びかけています。
AHAはメンバーに対し、パッチが利用可能になるまで、医療モニターがインターネットに接続されないようにし、ネットワークから分離することを指示しています。リギ氏は、Contecモニターが想定されるリスクの一例であると述べ、医療機器のセキュリティが不十分であることが今回の問題の根本的な原因であると指摘しました。米国の病院は限られた予算のため、しばしば中国から医療機器を購入し、その結果として機密情報へのアクセスを中国に与える可能性があります。
Nazarovas氏は、医療機器が敏感な患者データにアクセスできる場合、ハッカーの格好の標的になり得ると警告しています。彼は「これらのデバイスが防御されていない場合、攻撃者がリモートでアクセスし、デバイスの運用を変更することが容易になる」と述べ、Contecの脆弱性が深刻な結果をもたらす可能性があると指摘しています。
これに対し、多くの病院やクリニックが注目してきています。アラスカ州ジュノーにあるバートレット地域病院ではContecモニターを使用していませんが、リスクを常に調査しています。
カウフマン氏は、政府が医療機器の安全性を確保するための権限を制限していると懸念を示し、医療機器の問題が広範囲にわたって存在することを指摘しました。各種の医療機器のセキュリティ問題は以前から知られており、カウフマン氏は「政府がこの問題をどう解決していくのかが問われる」と述べています。
今後、米国が製造を国内にシフトさせるためのインセンティブを如何に与えるかが重要な課題となるでしょう。
