大手メーカー製の植え込み型神経刺激装置、攻撃者によるプログラム書き換えやデータ読み取りが可能な問題



3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF
The Registerの記事)。

無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。

解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデータを盗聴することが可能だが、ソフトウェア無線デバイスからプログラマーを装ったメッセージを送信することも可能となる。これにより、装置にセットされた患者名の書き換えや、プライバシーにかかわるデータの要求などが可能だったそうだ。メッセージは装置のシリアルナンバーを含むが、シリアルナンバーが空でも有効なメッセージとして受け入れられたとのこと。

将来は治療の効果を上げるため、脳波から抽出したデータを取得する機能が神経刺激装置に搭載される可能性もある。この場合、個人的な知識の有無や、感情、考えなども明らかにできる可能性も論文は指摘する。過去の研究では、脳コンピューターインターフェイス(BCI)に対するサイドチャネル攻撃で、パスワードなどを明らかにできるといったものも発表されている。

このような攻撃を避けるため、論文ではランダムなセッションキーの生成と安全なキー交換、暗号化プロトコルによる安全な通信を含むセキュリティアーキテクチャーを提案している。

すべて読む

| セキュリティセクション

| テクノロジー

| セキュリティ

| 通信

| 医療
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

心の声を読み取るウェアラブルデバイス「AlterEgo」
2018年04月10日

脳波検査システムのソフトウェアに脆弱性
2018年04月08日

ペースメーカーの脆弱性を修正するファームウェア更新が提供される
2017年09月03日

脳波を観測してパスワードを盗める可能性
2017年07月06日

2014年内に史上初の「オンライン殺人」が起こる?
2014年10月10日

チェイニー元米副大統領、テロリストからの攻撃を懸念して植え込み型除細動器の無線機能を無効化していた
2013年10月20日

ペースメーカーをハッキングして過電圧を与えることができる脆弱性
2012年10月22日

通信機能を備えた心臓ペースメーカー、クラックされる可能性あり
2008年07月20日





Source link