数百の病院で使用されている自律ロボットが遠隔ハイジャックの危険にさらされている

10年前、セキュリティ研究者のバーナビー・ジャック氏は、数百人の観客の前で、病院のインスリンポンプを無線でハッキングし、いかに簡単に侵入されて致死量の薬剤を投与できるかを実演したことで有名になりました。それから数年、医療機器のセキュリティは向上しましたが、時折、大きな問題が発生することもありました。しかし現在、研究者たちは、10年前にはそれほど普及していなかった、より新しい病院向け技術に脆弱性を発見しています。

自律型病院ロボットの登場です。これは、病院敷地内で薬剤、ベッドリネン、食料、医薬品、検査標本などを運搬できる、親しみやすいとされる自律制御のデジタルワークホースです。ロボットメーカーAethon社が開発したロボットをはじめとするこれらのロボットは、重要な物品を運搬するためのスペースと、病院内の立ち入り禁止区域への入室やエレベーターの乗車のためのセキュリティアクセスを備えており、人件費も削減します。

しかし、病院や医療システムのセキュリティ確保に注力するサイバーセキュリティの新興企業、Cynerio の研究者らは、Aethon ロボットにこれまで見たことのない 5 つの脆弱性を発見した。研究者らによると、これらの脆弱性により、悪意のあるハッカーが遠隔操作でこれらの自律型ロボットを乗っ取って制御することが可能になり、場合によってはインターネット経由で制御される可能性があるという。

Cynerioが総称してJekyllBot:5と呼ぶ5つの脆弱性は、ロボット自体ではなく、病院やホテルの廊下を移動するロボットとの通信と制御に使用されるベースサーバーに存在します。これらのバグは、ハッカーが高レベルのアクセス権を持つ新規ユーザーを作成し、ログインしてロボットを遠隔操作し、立ち入り禁止区域にアクセスしたり、ロボット内蔵カメラを使って患者や宿泊客を盗聴したり、その他の方法で混乱を引き起こしたりすることを可能にするなど、多岐にわたります。

Aethonの脆弱性に関する主任研究者であるアッシャー・ブラス氏は、この欠陥を悪用するには「非常に低いスキルセット」が必要だと警告した。

Cynerio氏によると、ベースサーバーには病院ネットワーク内からアクセスできるウェブインターフェースがあり、「ゲスト」ユーザーはパスワードなしでロボットのカメラ映像やその日の予定、タスクをリアルタイムで閲覧できるという。しかし、ロボットの機能は「管理者」アカウントによって保護されていたものの、研究者らは、ウェブインターフェースの脆弱性により、ハッカーが管理者パスワードを入力せずにロボットとやり取りできた可能性があると指摘した。

研究者らによると、5つのバグのうちの1つは、ウェブインターフェース上のジョイスティック型コントローラーを使用してロボットを遠隔操作できるようにするものであり、もう1つのバグを悪用すると、ドアロックを操作したり、エレベーターを呼び出したり乗車したり、薬品の引き出しを開閉したりできるようになるという。