医者ですら間違えた、健康な人を「ガン患者」にするマルウェア:509th Lap
「健康診断を受けなきゃな」と思う人は少なくないはずだ。日頃の不摂生が明確になるし、何より自分で把握していない病気が発覚することもある。だが、医師も技師も知らないところで検査結果を改ざんできる可能性が指摘された。
健康診断の結果を事実として受け入れるのは当然のことだ。ほとんどの人が医師なり検査技師なりの説明を信じるだろう。だが、検査結果が何者かによって改変できるかもしれないという研究結果が公表された。一体どういうことなのか。
イスラエルのベン・グリオン大学 サイバーセキュリティ研究センターの研究者が、CTスキャナーやMRI(核磁気共鳴画像法)といた医療機器の脆弱(ぜいじゃく)性を悪用するマルウェアの開発に成功した。
これらの機器は体内の様子を放射線や磁気などで解析して画像化する。今回のマルウェアは医師や検査技師が撮影データを確認する前に画像に修正を加える。例えば何の問題もない人の体内に「ニセの腫瘍」を作り出すことができるのだ。
しかも機械学習によって効率よく画像を改変する。あり得ない場所に腫瘍を作り出すのではなく、検査対象者の体格や解剖学的構造に応じて適切な場所に腫瘍を生み出すのだ。逆に実在する腫瘍を消去することもできる。改変は腫瘍だけではなく、心臓病や血栓、骨折などにも有効だ。
研究チームは改変した画像を熟練の放射線科医に見せてみた。偽の腫瘍のある画像は99%の精度で「ガンだ」と判断され、逆に腫瘍を取り除いた画像は94%の精度で「健康体だ」と診断された。事前に「マルウェアが改変した画像も含まれていますよ」と伝えても腫瘍追加画像で60%、消去画像で87%の誤診が確認された。
一般的に画像データは「PACS」と呼ばれる医療用画像管理システムで管理される。データはインターネットに接続されていない病院内ネットワークでやりとりされるので、マルウェアが入り込む余地はないはずだ。
研究者は、ここに盲点を見つけた。クローズドなネットワークで運用されることが前提となっているため、通信はTLSで暗号化されていても画像データそのものは暗号化されていない。マルウェアによる改変が容易なのだ。
もっとも感染の手口は原始的だ。USBイーサネットアダプターとRaspberry Piのようなごく低機能のワンボードコンピュータを用意する。合計しても40ドル(約4000円)程度だ。Raspberry PiにOS「Raspbian」をインストールしてネットワークブリッジを構築し、標準搭載されるWi-Fi機能をアクセスポイントとして動作するように設定する。
そして夜間の病院に侵入する。人気のない検査室でCTスキャンやMRIなどの医療機器のLANケーブルを探し出し、USBイーサネットアダプターを接続したRaspberry Piを挟み込む。これでクローズドな病院内ネットワークにアクセス可能になる。後はマルウェアを侵入させるだけだ。
上司X: マルウェアでCTやMRIの検査結果を改変できるかもという話だよ。
ブラックピット: それは困りますね。偽の検査結果で「ガンです」と宣告されたら立ち直れませんよ。
上司X: 研究者たちは可能性を実証しただけだからね。
ブラックピット: それはよかった。本物のマルウェアが存在するわけではないのですね。
上司X: これを報じたワシントンポストの記事の中で、医療関係者は軽くパニックになったようなコメントを寄せている。
ブラックピット: 医師も見抜けないんだから困りものです。
上司X: 考えれば考えるほど恐ろしい攻撃だよ。
ブラックピット: 僕がこないだの健康診断でメタボ気味だと伝えられたのも悪意ある第三者による攻撃なのではないでしょうか。
上司X: それはないだろう。見れば分かるよ。キミのメタボについては医師の警告を信じて摂生することが先決だな。
ブラックピット(本名非公開)
年齢:36歳(独身)
所属:某企業SE(入社6年目)
昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。
上司X(本名なぜか非公開)
年齢:46歳
所属:某企業システム部長(かなりのITベテラン)
中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。
Copyright © ITmedia, Inc. All Rights Reserved.