米国CISAは、中国製のモニター ” Contec CMS8000 ” にバックドアが仕掛けられており、患者データの漏出が起こり得ることを報告しました。
FDAはこの機器を直ちにネット接続から遮断するよう警告しました。
モニターとは
ここで言うモニターとは、医療現場で重症患者などに使われる、血圧・心電図・酸素飽和度などの生体情報(バイタルサイン)をリアルタイムで一覧表示する医療機器です。
値段は100万円前後くらいの高価なものです。(中国製はもう少し安いかも?)
例えばアラーム機能が故障すると重大な医療事故につながるし、重要な医療機器です。
血圧が下がってもアラームが故障して鳴らなければ、手遅れにつながります。
医療物のテレビドラマなど、病室や手術室などでよく見かける機器です。
問題のモニター
中国contec社のCMS8000です。
まあスペック的には普通のモニターですね。
前述の通りお値段が100万円単位ですから安易には買替ができません。
でもとりあえずネットから切り離してオフラインで使えば問題ないそうです。
バックドア
この機器にはCVE-2024-12248、CVE-2025-0626、CVE-2025-0683の脆弱性が発見されていますが、この脆弱性により攻撃者がデバイスをシャットダウンしたり、患者情報を流出させる危険があります。
この度CISAはこの脆弱性が、メーカーが製造時から故意に仕込んだバックドアに起因すると発表しました。
また窃取された患者データは、中国にあると思われる大学に送信されている可能性が指摘されました。
特定のIPアドレスに自動的に送信する隠れた機能がファームウェア内に存在したそうです。
まとめ
IT機器にはしばしば脆弱性が発見されますが、本件の場合は製造時に最初からバックドアとして作り込まれていた分、悪質と言えます。(ファームウェア・インプラント)
しかし患者の生体情報のデータを集めて何をするつもりだったのでしょうか。医学の学術的な研究?でしょうか。
それともとりあえず大規模データベースを作っておいて、後で何に利用するかを考えるのか。
個人情報保護の概念や常識がそもそも異なる、まあ中国製ならでは、の話題でした。
世間の常識ではルータやスマホ、アプリなどの例から、中国製には要注意となっていますが、医療機器もその例に漏れないようです。
参考:中国製が問題となった過去の例
<ChatGPT先生による解説>
これらの問題のため、多くの国が中国製デバイスやアプリの使用を制限したり、警戒を強めています。
コメント