JVNVU#95089754 Animas OneTouch Ping に複数の脆弱性

Animas OneTouch Ping インスリンポンプには、遠隔の第三者によって、患者の治療情報や機器のデータを取得されたり、機器を操作されたりする脆弱性が存在します。

特に、IoTが無線との関係で脆弱性がつかれると、結果として、身体・生命・財産の被害が発生してしまうということは、スケートボード脆弱性でもふれました。

このレベルになると、電波法や医薬品医療機器等法(薬機法)という個別法の対応準備ができているのだろうか、という疑問がでてきますね。

電波法は、混信を防ぐ仕組みはありますが、その定めといっても、電波法施行規則6条の2・3号は、「同一の構内において使用される無線局の無線設備であつて、識別符号を自動的に送信し、又は受信するもの」というものです。その意味で、重要な情報に対する仕組みには、なっていません。暗号通信は、それが、解読されない程度に安全に設計されているか、というのは、電波法の技術基準とは、趣旨が異なるということでしょう。(なんといっても電波法は、傍受のみでは、秘密侵害にならないという仕組みをもとにできてますし)

では、薬機法では、どうかというと、「医療機器におけるサイバーセキュリティの確保について」という通達がなされて、検討がなされていることはなされています。基本的な考え方として「サイバーリスクについても既知又は予見し得る危害としてこれを識別し、意図された使用方法及び予測し得る誤使用に起因する危険性を評価し、合理的に実行可能な限り除去する」「医療機器の開発に当たっては、リスクマネジメントとして必要な対策を実施し、サイバーセキュリティを確保すること、また、既に製造販売を行っている医療機器に関しても、同様にサイバーセキュリティを確保すること」が必要であるとしています。そうはいっても接続環境における脆弱性が、そのもともとの「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第 41 条第3項の規定により厚生労働大臣が定める医療機器の基準」(平成 17 年厚生労働省告示第 122号。以下「医療機器の新基本要件基準」という。)との関係で、どのように考えられるかという整理は、まだされていません。能動型医療機器に対する配慮(12条)の規定があって、「電子プログラムシステムを内蔵した医療機器は、ソフトウェアを含めて、その使用目的に照らし、これらのシステムの再現性、信頼性及び性能が確保されるよう設計されていなければならない。」とされていくのですが、この場合に、具体的な適用があるのか、という点もかんがえてみないといけないかもしれません。このポンプは、この規定が該当しそうですが、そうだとすると、機器を操作されるというのが、基準との関係で、信頼性が確保される設計といえるのか、もしかすると、設計として不十分であるおそれが生じた場合といえるのではないか、という分析もできるかと思います。(そのおそれを利用の方法、注意の方法で対処するというのであれば、それもそれかと思いますが、そのリスク評価は、この制度のなかで、どの仕組みがなすべきなのか、難しい問題であるといえるでしょう)

さらに、IPAの報告書(「医療機器における情報セキュリティに関する調査」報告書)をみると、セキュリティパッチが、改造に該当すると解釈されて、それを当てることができないという話になっています。このあたりは、どうにか、具体的な対応ができるようになるといいです。