• TOP
  • 特集一覧
  • WPA2の脆弱性「KRACK」が医療機器に影響、患者情報漏えいの可能性
2018/06/05

WPA2の脆弱性「KRACK」が医療機器に影響、患者情報漏えいの可能性

メイン画像

2017年10月に確認されたWPA2の脆弱性「KRACK」の影響が、医療機器にも及ぶことが報告されました。現時点で、該当の医療機器に対する実際の攻撃は確認されていませんが、KRACK脆弱性を狙って攻撃された場合、患者情報が漏えいする可能性があります。

医療技術企業のベクトン ディッキンソン アンド カンパニー (以下、BD) が世界中で提供している医療機器が、WPA2の脆弱性「KRACK (Key Reinstallation AttaCKs)」 の影響を受けることが報告されました。

現時点で、当該医療機器に対する実際の攻撃は確認されていませんが、この脆弱性を狙って攻撃された場合、ネットワークトラフィックが中間者攻撃に対して脆弱となり、患者情報が漏えいする可能性があります。同様の攻撃を使うと、悪意あるネットワークパケットを送信したり、通常のIT関連医療業務に支障をきたすといったこともWPA2プロトコルを通じて可能になります。

同社Webサイトによると、BDは、感染症やがん、薬剤管理、糖尿病の治療と管理をはじめとした様々な提携や医療技術の提供を世界50カ国で行っています。

今回BDは、一連の脆弱性が確認されたWPA2プロトコルを使用する医療機器の影響に関して注意喚起を公開しています。

この脆弱性が悪用されると、攻撃者は、必要な認証情報を入手して無線ネットワークにアクセスし、関連する医療機器だけでなく、スマートフォンやコンピュータなどの無線ネットワークに接続された他のすべてのデバイスによって交換される情報を復号できます。

BDはまた、KRACKの脆弱性が悪用された場合、攻撃者は患者情報を変更したり、医療機関における通常のIT関連業務に大きな混乱を引きおこすことも可能だと指摘しています。

BDは、通常のプロセスを通じて必要な更新プログラムを配信しましたが、この脆弱性を利用しての侵入には高度な技術スキルが必要になると同時に、攻撃者が標的となる無線ネットワークの近くにいる必要があるとしています。

WPA2は、最新の無線ネットワークのセキュリティ保護に一般に使用されるプロトコルです。2017年10月に発見および確認されたKRACK脆弱性は、通信を暗号化する鍵の生成時に使用される4ウェイハンドシェイクに存在します。4ウェイハンドシェイクは、新しいデバイスが共有パスワードで対話してネットワークに参加するプロセスのことです。

KRACK脆弱性は、個人と企業の両方のネットワークとシステムに影響を与える可能性があり、攻撃者はこの脆弱性を悪用することで、パスワードなしで任意のWi-Fiネットワークにアクセスできるようになります。

各企業の ITシステム管理者およびセキュリティ管理者には、KRACK の影響の深刻さを考慮して、以下のようなリスク軽減策を適用することを推奨します。

・Wi-Fi接続可能な端末機器、ルータ、ハードウェアのファームウェアは、KRACK に対する更新プログラムを直ちに適用する。

・通信の内容が暗号化されていれば傍受されていても内容を盗まれることはないため、可能な範囲で「Virtual Private Network(仮想プライベートネットワーク、VPN)」を使用する。

・Wi-Fi通信の到達範囲からしか攻撃ができないため、無線LAN の電波調査(サイトサーベイ)を実施する。現在の無線LANの到達範囲を把握して、当初に実施したサイトサーベイと結果が変わっていないか確認する。また アクセスポイントの監視を行い見知らぬ MACアドレスがないかなどを監視する。

・自社の Wi-Fi接続およびネットワークを不審者から特定されるのを最小限に抑えるため、Wi-Fi のアクセスポイントの固有名を示す「SSID」を見直す。

今回の医療機器における注意喚起のように従来のITシステムに限らず、業種に特化したOTのシステムにおいても、脆弱性の影響を回避することはできません。しかも、患者情報など、こうしたシステムで扱われる機微な情報の価値、機密性を考えると、IoTの世界におけるセキュリティ対策は不可欠であり、より重要度の高いものとなることは間違いありません。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop