ネットに繋がった医療機器のヤバすぎる実態 ｢点滴装置の乗っ取り｣は驚くほど容易だった

「レンタルの医療機器には、本来なら返却時にすべて消去されるべきデータが残ったままになっているケースが多いのです。この点滴装置にも、病院のWi-Fiのパスワードが記録されています。この病院にパソコンを持っていってパスワードを打ち込めばWi-Fiにつながり、さまざまな医療機器が接続されているネットワークにアクセスできます。そうすれば、機器をコントロールして、最悪、病院にいる患者を殺めることも可能です」

今回用意した点滴装置は、病院内のネットワークに接続して、医師や看護師が離れた場所から薬の量などを調節できるようになっている。しかし多種多様な脆弱性があるとして、医療機器としては初めてFDA（アメリカ食品医薬品局）からサイバーセキュリティ勧告を受けたという。

点滴装置が勝手に動き出した！

私たちが点滴装置に生理食塩水の輸液パックをセットし、まずは通常のスピードで生理食塩水が送り出されるように設定する。ポタッ……ポタッ……。数十秒に一滴、ゆっくりとした適度なスピードで一滴一滴注がれる。

「今からこの点滴装置を乗っ取ります」

ハッキングが始まった。リオス氏によれば、まず、ネットワークを防御するファイアウォールを無効にするために設定を変更するのだという。

「ファイアウォールはいわば、〝ドアの鍵〞のようなものです。泥棒は鍵を開けて家の内部に侵入し、奥に進んで、なかにあるものを盗みます。それと同様に、ネットワークに接続し、ファイアウォールを無効にしたら、次は実際に点滴装置をハッキングします」

ネットに接続される点滴装置は、パスワードがないと外部から操作できないようになっている。しかし、プログラムに弱点があり、あるコマンドを送れば、本来なら製造したメーカーしか知らないはずのパスワードが見えてしまうというのだ。

固唾をのんで見守ること40分。パートナーのバッツ氏が「乗っ取ったよ」とつぶやいた。

パスワードらしい文字列を見つけたようだ。バッツ氏がそれを入力する。すると、誰も触れていない点滴装置の液晶パネルの画面が切り替わり、遠隔操作でパスワードが入力され、管理者画面が表れた。そして、薬剤の投与量などを変更する設定画面へと、勝手に替わる。目の前の点滴装置のコンピュータが、まるで自らの意思を持っているかのように、パスワードや種々の設定を変更しているように見える。