更新：調査を進めて、慎重を期すために、GEヘルスケアは以前に投稿した発表を更新し、直接ユーザに通知いたします。
             全文は以下をご覧ください。

概要

2019年7月16日：GEヘルスケアはICS-CERT/CISAの開示情報を承知しています。この情報は、GEヘルスケアの麻酔装置のシリアルポートを、十分な安全対策がなされていない外部のターミナルサーバ経由で病院のネットワークに接続した際に、装置に対する無許可のアクセスを許してしまう可能性があることについて説明しています。この脆弱性は麻酔装置本体によるものではなく、十分な安全対策がなされていない外部のネットワークターミナルサーバに装置を接続した場合に起こり得る事象です。

この脆弱性は、GEヘルスケアの麻酔装置に以下の4通りの影響が出る可能性がございます。

1. フローセンサー

極めて可能性は低いですが、十分な安全対策がなされていないターミナルサーバは、病院のネットワークに侵入している悪意のある攻撃者にフローセンサーの不正な補正パラメータを一部の製品（表を参照）に送信する機会を与えている可能性があります。ターミナルサーバとは、麻酔装置標準製品構成外で、サードパーティ・サプライヤ（GEヘルスケア以外）から取得できる製品です。フローセンサーの不正な補正パラメータが送信された場合、フローセンサーのキャリブレーションが影響を受ける可能性があり、従量式換気モードを使用する場合に患者に対して1回換気量の過剰送気を引き起こす可能性があります。1回換気量の過剰送気は、まれなケースではありますが、肺の障害リスクを高めるおそれがあります。さらに、過少送気も発生する可能性があり、送気される換気ガス量が過少になるおそれがあります。通常、臨床医の管理がなくこの状況が発生すると、理論上、患者の酸素供給または換気に障害をきたしかねません。

注記：関係する麻酔装置にはアナログ式のガス制御装置と機械式の気化器があるため、混合ガスまたは薬剤のレベルの遠隔調整はできません。

2. アラーム

悪意のある攻撃者が、アラーム音を鳴らないように操作をしている可能性もありますが、アラーム音が鳴らない事象は最初の可聴アラームが鳴った後に限られます。視覚的アラームは表示され続け、臨床医が認識することが可能です。さらに、新たなアラームが発生した場合、アラーム消音中であっても、ユーザに警報音を発します。麻酔装置は高度な技能をもつ臨床医が装置を継続して監視しているので、このケースが患者に被害をもたらすことは、まず予想されません。

3. 時間

一部の製品（表を参照）では、悪意のある攻撃者によって装置の日時が変更される可能性がありますが、時刻変更は患者の処置が始まってからは行えず、装置の使用には影響しません。時刻は常時画面に表示されます。このケースが患者に被害をもたらすことは、まず予想されません。

4. 患者の体重および年齢

悪意のある攻撃者によって、一部の製品（表を参照）で患者の体重と年齢が変更されるおそれがありますが、これらのパラメータは臨床医が装置を使用する前に確認して承認する必要があり、装置の性能に影響することはなく、また装置の使用中に変更することはできません。このケースが患者に被害をもたらすことは、まず予想されません。

以上のことから、これまでにGEヘルスケアに報告されているサイバー攻撃または傷害の発生はございません。

関係する装置

^a 2010年10月以前に製造された装置

^b 2014年2月以前に製造された装置

^c 2004年3月以前に製造された装置

^d 2014年7月以前に製造された装置

セキュリティ対策の注意事項

GEヘルスケアは、麻酔装置のシリアルポートをTCP/IPネットワークに接続する場合、安全なターミナルサーバを使用することをお勧めします。安全なターミナルサーバとは、正しく構成されると、強力な暗号化、VPN、ユーザ認証、ネットワークコントロール、ロギング、監査機能、そして安全なデバイス構成および管理オプションなどの強固なセキュリティ機能を提供するものです。

GEヘルスケアは、ターミナルサーバには、ネットワークのセグメント化、VLAN、デバイス隔離など、既存のセキュリティ対策を高めるガバナンス、管理および安全なデプロイメントを含むベストプラクティスを利用するようお勧めします。

何かご質問があれば、最寄りのGEヘルスケア・ジャパン㈱にご連絡ください。

詳しくは、ICS-CERT / CISAの次のサイトをご覧ください。

https://www.us-cert.gov/ics/advisories/icsma-19-190-01