米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は最近、病院や医療施設で使用されているContec CMS8000という患者モニタリングシステムで使用されている3つのファームウェアバージョンに関する調査報告書を発表しました。これらのデバイスには、IPアドレスがハードコードされたバックドアが存在し、患者データの送信が可能であることが発覚しました。製品の説明によると、これらのデバイスは有線または無線ネットワークを介して中央モニタリングシステムに接続できるため、このような攻撃が可能となっています。
当局は、特定のIPアドレスにデータを送信するコードを公開しました。このデコードされたデータには、医師名、患者名、病院の診療科、入院日、生年月日、その他このデバイスを使用した人物に関する詳細情報が含まれています。この脆弱性はCVE-2025-0626として登録されており、CVSS v4スコアは10点満点中7.7です。他に2つの脆弱性がCVE-2024-12248として登録されており、これは攻撃者がリモートからデータを書き込んでコードを実行できる可能性があることを示唆しています。また、CVE-2025-0683はプライバシーに関する脆弱性に関連しています。
プライバシーおよび機密情報の漏洩
Contec CMS8000は、患者のバイタルサインを明確にモニタリングし、心電図、心拍数、血中酸素濃度、血圧、呼吸数など、非常に詳細なデータを保存します。FDAは、FDAと医療機関がその目的を認識していないことを示唆する通知を発表しており、プライバシーに関する懸念が生じています。報道によると、Contecはこの問題に未だ対処しておらず、修正ファームウェアもリリースしていません。
多くのネットワークデバイスに脆弱性があることが報告されており、中国企業に限らず、多くのデバイスが脆弱性を抱えていることが報告されています。しかし、こうしたデバイスが重要な役割を担っていることを考えると、デューデリジェンス、確認、そして情報開示は不可欠です。たとえデータが所在地を問わず大学に送信されたとしても、また報告書ではFDAも病院もこのバックドアの存在を認識していないと示唆されていることから、これは特定の地域に限らず、すべての患者と医師のプライバシーを侵害することになります。1月以降、中国からのサイバー攻撃が複数発生しており、TP-Linkをめぐる懸念も高まっています。こうした状況は、当然のことながら、これらのデバイスの問題をさらに深刻化させるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Roshan Ashraf Shaikhは2000年代初頭からインドのPCハードウェアコミュニティに携わり、PCの組み立て、インドの多くの技術フォーラムやブログへの寄稿に携わってきました。Hardware BBQを11年間運営し、eTeknixとTweakTownでニュース記事を執筆した後、Tom's Hardwareチームに加わりました。テクノロジー以外にも、格闘ゲーム、映画、アニメ、機械式時計に興味を持っています。
