IEEEが発表　 植え込み型医療装置に求められる 新たなサイバーセキュリティソリューション

IEEE(アイ・トリプルイー)は世界各国の技術専門家が会員として参加しており、さまざまな提言やイベントなどを通じ科学技術の進化へ貢献しています。

1958年に始めてのペースメーカー手術が行われて以来、50年以上に渡り、植え込み型医療装置(Implantable Medical Device：IMD)は多くの人の命を救ってきました。今も日々新しい植え込み型技術の開発が進んでいます。現在利用されている最新植え込み型装置の例として、てんかん患者やパーキンソン病患者向けの脳深部刺激装置、輸液ポンプを用いたドラッグデリバリーシステム、バイタルサインの収集・処理を行う各種センサーなどがあります。

また、それらの植え込み型装置はインターネットに接続されることが多くなっており、インターネット接続は、医療関係者によるデータのダウンロードやプログラマーによるソフトウェアの更新を可能にします。

しかし、インターネットにつながる医療装置はサイバー攻撃の標的ともなり得ます。植え込み装置の電算能力やバッテリー容量に限界があることから、こうしたサイバーリスクへの対応は容易ではありません。

IEEEのメンバーであるレベッカ・ハロルド氏(Rebecca Herold)は「埋め込み型医療装置がサイバー攻撃を受けることによって、装置の乗っ取りやデータの漏洩、動作への介入などが行われることは何としても避けなければなりません。」と語ります。

■暗号化された微小通信メカニズム

植え込み型装置とノートパソコン、スマートフォン、タブレットなどの接続デバイス間でやりとりされる通信は暗号化されていないことが多いです。植え込み型装置は小型で、暗号化のタイプによっては対応に必要な電算能力を備えていないこともあるからです。

しかしセキュリティリスクの重大さが認識されるにつれ、その状況も変化する可能性があります。

現在複数の研究者が、患者自身の体のデータを用いて暗号キーを生成し、そのキーを用いて接続デバイスとデータをやり取りすることで、安全な通信を確立する技術の開発に取り組んでいます。IEEE Accessに掲載された最近の記事では、研究者らが医療センサー間のデータ通信用ベンチマークとしての心電図の利用について論じています。体が発する信号を一種の生体認証として利用すれば、電算能力が限られていたとしても安全な通信を確立することが可能になるでしょう。

■バッテリー攻撃

植え込み型装置はバッテリーを標的にした攻撃に対しても脆弱性があり、以下の2タイプの攻撃が想定されています。

一つ目のタイプの攻撃は、攻撃者が不正な認証データを用いて植え込み型装置に対して安全な通信チャンネルを確立するよう命令するものです。これにより植え込み型装置がエネルギー消費認証プロトコルの一部を実行し、バッテリーの消耗を引き起こします。もう一つは、電磁ノイズを発生させて植え込み型装置の受信系統のエラー発生率を高めるものです。攻撃の影響で自動送信件数が増えるため、エネルギー消費が増大します。またノイズ増加に対応するため植え込み型装置が送信パワーを上げるため、やはりバッテリーの消耗につながります。

IEEEメンバーのジェファーソン・ノブレ氏(Jeferson Nobre)は「攻撃によって引き起こされる大きなリスクは、埋め込み型装置の動作停止です。これらの攻撃はいずれも合法的なタスクにより実行可能なので、タイムアウト型もしくは挙動異常検知型の防御が必要となるでしょう。」と語ります。

これらの攻撃はまだ理論上想定されているのみですが、複数のセキュリティ研究者が実際に攻撃可能であることを実証試験で証明しています。また一部のユーザーがサイバー攻撃を恐れて埋め込み型装置への無線接続を切断してしまった事例が報告されています。

IEEEの大学院生メンバーであるシャリー・グプタ氏(Shally Gupta)は「埋め込み型医療装置は、非常に強力な攻撃を簡単に実行できるタイプのデバイスと言えます。」と語ります。

グプタ氏によれば、こうした攻撃に対抗するため装置メーカー各社は「ゼロパワー防御戦略」、つまり装置自身のバッテリーパワーに依存しない防御技術の開発を進めています。そうした防御技術の一つが、攻撃者側に電力を消費させて返り討ちにする手法です。

最近この防御方法を紹介する論文がIEEE Accessに掲載されました。「IMDはまず外部の通信相手から受信する無線メッセージを利用してエネルギー・ハーベスト(電力収穫)を行い、次にこのフリーなエネルギーを用いて認証オペレーションを実行します。IMDは、外部の通信相手の認証が完了するまでは一切メインバッテリーの電力を消費することはありまません。これにより、外部の攻撃者からの不正メッセージに反応してIMDのバッテリーを消耗するのを防ぐことができます。」とグプタ氏は語ります。

■IEEEについて

IEEEは、世界最大の技術専門家の組織であり、人類に恩恵をもたらす技術の進展に貢献しています。160カ国、40万人以上のエンジニアや技術専門会の会員を擁する非営利団体で、論文誌の発行、国際会議の開催、技術標準化などを行うとともに、諸活動を通じて世界中の工学やその他専門技術職のための信用性の高い「声」として役立っています。

IEEEは、電機・電子工学およびコンピューターサイエンス分野における世界の文献の30％を出版、2,000以上の現行標準を策定し、年間1,800を超える国際会議を開催しています。

詳しくは http://www.ieee.org をご覧ください。