廃棄された医療機器に医療施設に関する情報が大量に保存されていることが判明

eBayなどの流通市場で販売されている輸液ポンプには、かつてそれを所有していた病院に関する機密情報が依然として大量に保存されていることが研究者らによって判明した。

Rapid7 の主任セキュリティ研究者である Deral Heiland 氏と他の数名は、Alaris、Baxter、Hospira などの 13 の輸液ポンプ デバイス ブランドを調査し、以前の所有者のアクセス資格情報と認証データを発見しました。 この機械は病院のベッドの隣に設置され、患者の循環系に液体、薬剤、栄養素を送り込む重要な装置です。

この調査により、医療機器分野における永続的な問題が明らかになりました。それは、取得を解除する前に適切にパージされていない、輸液ポンプ機器に保存された重要なデータが残っているということです。 これらのデバイスは、病院がアップグレードしたり、新しいモデルに交換したりするときに流通市場で販売されることがよくあります。

検査された13台のデバイスのうち8台には機密情報が保存されており、これはeBayなどのサイトで販売される前に一部のデバイスが実際にデータを適切に消去された証拠であるとハイランド氏は述べた。

ほとんどのデバイスに残された情報は、米国の医療機関で依然として有効である可能性が高い Wi-Fi パスワードを誰かに提供する可能性があります。

「オンラインで販売できるものとできないものについての制限を定義するのは困難になっています。 たとえば Ebay などの市場は、デバイスが消去されたかどうかを特定するためにどのように監視するのでしょうか?」 ハイランド氏はRecorded Future Newsに語った。

「この場合、責任は双方にあると思います。 まず、組み込み医療技術ベンダーは、デバイスの廃止や譲渡の前に、デバイスをパージするための簡単で十分に文書化された方法を提供する必要があります。 第二に、これらのテクノロジーを利用する医療機関は、デバイスが廃止されて販売または第三者に譲渡される前に、デバイスのデータが適切に消去されることを保証するプロセスと手順を (ゆりかごから墓場まで) 実装する必要があります。」

輸液ポンプは、セキュリティの向上に 10 年以上費やしてきたサイバーセキュリティの専門家やベンダーにとって、長年の懸念事項でした。 FBIは9月、デバイスの脆弱性によりサイバー攻撃への扉が開いていると警告した。

サイバーセキュリティ会社タニウムのシニアディレクター兼ヘルスケアストラテジストであるショーン・サーバー氏は、医療機関は「生体物質の場合と同様に、機器の廃棄も規律を持って行うべきだ」と述べた。

「医療用ポンプやその他の周辺機器は攻撃ベクトルとして見落とされることが多いため、このようなシナリオは非常に一般的です」と彼は言いました。 「内部ワイヤレス ネットワークの認証情報とキーが公開されると、攻撃者がネットワークへの内部アクセスを取得し、そのネットワーク上の他の脆弱なデバイスを悪用する可能性が簡単に高まります。 そこから、攻撃者は簡単にマルウェアやランサムウェアを配布したり、個人の健康情報をサイレントに収集して窃取したりする可能性があります [PHI]。

この種の攻撃にはターゲットに物理的に接近する必要があるが、「攻撃者は、捕らえられる可能性が高い他のメカニズムを介して送信するのではなく、自分のデバイスで PHI を盗み出すことができるため、特に被害が大きい可能性がある」とサーバー氏は述べた。ネットワークセキュリティソリューションによって。」

Rapid7の報告書で言及された輸液ポンプメーカーのいくつかはコメント要請に応じなかった。

Alaris ブランドの輸液ポンプを展開する Becton, Dickinson and Company の広報担当者は、BD Alaris Systems に存在するデータは「システム内の制御と、アクセス制御、識別、認可に関する業界セキュリティのベストプラクティスの順守によって保護されている」と述べました。 、人員の安全、資産の物理的な保護。」

報告書に記載されている問題は「以前にBDの顧客と共有されており、最新のBD Alaris注入システムの補償制御を通じて修正または軽減されている」と広報担当者は述べた。

「適切に廃止されていないレガシー医療機器の潜在データは、業界全体で既知の問題です。 BD は 2016 年に BD Alaris システムの残留データに関する製品セキュリティ情報を発行して、この問題に注意を喚起し、患者データを保護するための推奨事項を顧客に提供しました。」