~ Bluetooth経由でモバイルアプリに送信される結果の書き換えに成功、メーカー側は既に対応が完了 ~
先進的サイバー・セキュリティ・テクノロジーのプロバイダであるWithSecure (旧社名: F-Secure、本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、以下、ウィズセキュア) は、同社のリサーチの結果、アメリカのヘルスケアテクノロジー企業であるCue Health社 (以下、Cue Health) が市場に提供する新型コロナウィルス検査キットに問題があり、Bluetooth経由でモバイルアプリに送信される結果が改ざん可能であったことを発見したと発表しました。この問題に関しては既にCue Healthと共有し、Cue Healthによる対応策の実施が完了しています。
Cue Healthが提供する新型コロナウィルス検査キットは医療用綿棒/検査カートリッジ/リーダーで構成され、約20分で検査結果をモバイルアプリに自動的にアップロードすることができます。この検査はRNA検出法を用いて分子レベルでのウィルスの有無を調べるものであり、抗原を調べる通常の検査と比較して僅かなウィルスをも検出し、また、短時間で正確な結果を得ることができるとされています。同社の検査キットはそのスピード/正確さ/使いやすさにより、アメリカ/EU/カナダ/インド/シンガポールにおいて、業務用および家庭用として認可されています。
新型コロナウィルス検査は、鼻腔からサンプルを採取するための医療用綿棒 (スワブ) と検査カートリッジとがセットになったキットと、Cue Readerという2種類のデバイスを使用します。ユーザーは綿棒で鼻腔からサンプル採取し、カートリッジにセットします。カートリッジが検査をおこない、リーダーに挿入するとそのデータがリーダーに送られ、その後、リーダーはBluetooth経由で個人のスマートフォンにインストールされたHealth App (iOSおよびAndroidで利用可能) に結果を送信します。WithSecureはリサーチにより発見したこの問題をCue Healthに通知し、Cue Healthは迅速に対応し調査を開始し、今後の検査結果の改ざん防止対策を迅速に実施しました。Cue Healthでは、WithSecure以外からはデータ改ざんの可能性や実際の改ざんがあったという報告は受けていません。
ウィズセキュアのセキュリティコンサルタントであるKen Gannon (ケン・ギャノン) は、検査結果を改ざんする方法の発見について、次のように語っています。
「Cue HealthのリーダーからスマートフォンのモバイルアプリにBluetooth経由で送信されるデータをFridaスクリプトを使用して傍受することが可能でした。それにより検査結果 (陰性/陽性) を知ることができ、また、陰性→陽性および陽性→陰性という改ざんをすることができました。そして、Health App内でプロクタリングを行い、検査結果を認証してもらいました。検査結果をどちらに変更する場合でも、プロセスは同じです。こうした方法を知っている人が実際に結果を改ざんし始めると、大きな問題になる可能性がありました。」
Cue Healthで情報セキュリティおよびプライバシー担当副社長を務めるVimal Subramanian (ヴィマル・サブラマニアン) 氏は、この問題について、以下のように話しています。
「当社にとって技術の信頼性と安全性は最も重要なものです。ウィズセキュアの協力により、サイバーセキュリティに関する高度な専門知識やスキルを持つ者が当社の新型コロナウィルス検査キットの結果を改ざんできてしまう可能性が存在したことを認識することができました。Kenをはじめとするウィズセキュアのリサーチチームがこの問題を発見してくれたことに非常に感謝しています。当社では既にCue Healthアプリにおけるこの問題を修正するためのソフトウェアアップデートを行っています。こうした問題、そしてリサーチ結果を直接当社のようなメーカー側に報告してくれることは、最終的には人々が使用する製品をより安全かつ信頼性の高いものにすることにつながります。ウィズセキュアと当社が今回行ったことは、まさにそれなのです。」
現在、様々な活動において新型コロナウィルスの陰性結果証明が求められるケースが増えています。本年2月初め、ニューヨークで2人の看護師が新型コロナウィルスのワクチン接種済み証明に関連した150万ドルの詐欺で起訴され *1、検査結果の改ざんに関する問題が浮き彫りにされました。Gannonは昨年12月に別メーカー製の新型コロナウィルス検査キットで同様の問題を発見していますが*2、彼は様々なデバイスにこうしたセキュリティが潜んでいるであろうと考えています。
「私は最近、業務上の好奇心に基づいて新型コロナウィルス検査についてリサーチを行っています。今回発見したような問題は、IoTデバイスをはじめとした、PCを使って特定のタスクを実行する様々なデバイスのメーカーは常に認識しておくべきだと考えます。今回、ウィズセキュアとCue Healthが共同作業により新型コロナウィルス検査の完全性を確保できたことは喜ばしいことではありますが、全てのデバイスメーカーにとっては、いち早くセキュリティ上の問題を発見し、ユーザーが被害を受ける前に対策を施すことが重要なのです。」
今回のリサーチの詳細ついては、以下のページをご覧ください (英語):
リンク
*1: リンク
*2: リンク
WithSecure Webサイト:
リンク
WithSecureプレスページ:
リンク
WithSecureについて
WithSecure™は、ITサービスプロバイダー、MSSP、ユーザー企業、大手金融機関、メーカー、通信テクノロジープロバイダー数千社から、業務を保護し成果を出すサイバーセキュリティパートナーとして大きな信頼を勝ち取っています。私たちはAIを活用した保護機能によりエンドポイントやクラウドコラボレーションを保護し、インテリジェントな検知と対応によりプロアクティブに脅威を探し出し、当社のセキュリティエキスパートが現実世界のサイバー攻撃に立ち向かっています。当社のコンサルタントは、テクノロジーに挑戦する企業とパートナーシップを結び、経験と実績に基づくセキュリティアドバイスを通じてレジリエンスを構築します。当社は30年以上に渡ってビジネス目標を達成するためのテクノロジーを構築してきた経験を活かし、柔軟な商業モデルを通じてパートナーとともに成長するポートフォリオを構築しています。
1988年に設立されたWithSecureは本社をフィンランド・ヘルシンキに、日本法人であるウィズセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。詳細は www.withsecure.com をご覧ください。また、Twitter @WithSecure_JP でも情報の配信をおこなっています。
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
