米食品医薬品局(FDA)は、Abbott(旧St. Jude Medical)のペースメーカーを「リコール」すると発表した。
機器のファームウェアをアップデートして、一連の深刻な脆弱性から保護する必要があるという。この脆弱性が悪用されれば、ペースメーカーのバッテリ寿命を消耗させて、攻撃者に対し、プログラムされた設定の変更や機器の心拍数および心拍リズムの変更さえ許してしまうおそれがある。
FDAは米国時間8月29日にセキュリティ勧告を出し、対象のペースメーカーを回収する必要があるとして注意を呼びかけた。ペースメーカーは利用者の胸に埋め込まれているため、患者は病院に赴いてソフトウェアパッチを適用してもらう必要がある。
RF接続対応のAbbott製ペースメーカーまたは心臓再同期療法ペースメーカー(CRT-P)を利用している患者に加え、現在病院でこれらの機器を使用して心不全や心拍リズムの異常といった症状の治療にあたっている医療従事者は、FDAが8月23日に承認したファームウェアアップデートを機器に適用する必要がある。
影響を受けるモデルは、「Accent」「Anthem」「Accent MRI」「Accent ST」「Assurity」「Allure」だ。
FDAは、米国全体で46万5000台のペースメーカーが影響を受けると推計している。米国外で使われている機器の台数は不明だ。
Abbottは医師らに送付した書簡の中で、アップデートはリモートで提供できないため、患者立ち会いのもと、約3分間にわたりバックアップモードにしている間にダウンロードとインストールを行う必要があると述べている。
今回のアップデートは「Merlin@home v8.2.2」の一環だが、8月28日以降に製造されたペースメーカーにはすでにこのセキュリティパッチが適用されているという。
患者は、自分で担当の医師に連絡してアップデートの予約を取るよう求められている。ただし、Abbottは医師に対し、「患者に対するアップデートのリスクを考慮して適切」な場合にのみアップデートするよう勧告している。
ファームウェアのアップデートをインストールすると、アップデート全体の失敗や、プログラムされた設定の喪失、診断データの喪失につながるおそれがあるほか、0.003%という極めて低いリスクとはいえ、機能が完全に失われてしまう可能性もある。
FDAは次のように述べている。「FDAは、患者、患者を担当する医療従事者、医療機関に対し、通信ネットワーク(Wi-Fi、公共または自宅のインターネット)に接続されているいかなる医療機器も、サイバーセキュリティの脆弱性を抱えている可能性があり、許可されていないユーザーに悪用されるおそれがあることを改めて指摘したい。ただし同時に、医療機器における無線技術およびソフトウェアのさらなる活用によって、より安全、より効率的で、便利かつタイムリーな医療を提供することも可能になった」
ペースメーカーが攻撃されたという報告はないが、この脅威は患者の健康と潜在的な生命にとってのリスクであり、深刻な問題である。アップデートが行われると、ペースメーカーにアクセスを試みようとするデバイスは、「Merlin@home Transmitter」を通じて認証を受けなければならなくなる。これにより、不正な改ざんを防ぐことができるはずだという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果