日付 |
タイトル・内容 |
24日 |
|
24日 |
|
24日 |
|
18日 |
|
17日 |
|
17日 |
|
14日 |
|
14日 |
|
14日 |
|
13日 |
|
12日 |
|
11日 |
|
11日 |
|
07日 |
|
07日 |
|
07日 |
|
06日 |
|
06日 |
|
06日 |
|
05日 |
|
|
|
○概要
Johnson&Johnsonの子会社であるAnimasが提供する医療機器「Animas OneTouch Ping」において、不正に操作を行ったり、応答内容を偽装されるなど、複数の脆弱性が含まれていることが判明。
同製品は、糖尿病患者に少量ずつ持続的にインスリンを注入するインスリンポンプで、独自プロトコルによる無線通信機能を備えており、メーターによる遠隔制御機能を実現しているが、通信内容を暗号化しておらず、複数の脆弱性が含まれていることがわかった。
脆弱性を発見したRapid7によれば、攻撃者が遠隔からメーターを偽装し、不正にインスリンの投与を行うことが可能で、利用者が操作をキャンセルしないと低血糖を引き起こすおそれがある。
※おもな脆弱性
1)治療に関する情報やパスワードなどの機密情報を平文で通信する「CVE-2016-5084」
2)ペアリング機能の安全性が不十分で、通信内容から「なりすまし」に利用できる情報を取得できる「CVE-2016-5085」
3)通信内容をキャプチャし、リプレイすることでなりすましによる操作が可能となる「CVE-2016-5086」
Rapid7は、これらの脆弱性の悪用リスクは比較的低く、パニックを引き起こすものではないと説明している。
Johnson&Johnsonでは、患者や医療関係者に通知するものの、脆弱性に対応したファームウェアをリリースする予定はなく、無線機能をオフにすることで脆弱性の影響は受けないとしている。 |
|
|
|
|
|