パスワードを忘れた? アカウント作成
13580933 story
テクノロジー

大手メーカー製の植え込み型神経刺激装置、攻撃者によるプログラム書き換えやデータ読み取りが可能な問題 26

ストーリー by headless
攻撃 部門より
3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDFThe Registerの記事)。

無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。

解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデータを盗聴することが可能だが、ソフトウェア無線デバイスからプログラマーを装ったメッセージを送信することも可能となる。これにより、装置にセットされた患者名の書き換えや、プライバシーにかかわるデータの要求などが可能だったそうだ。メッセージは装置のシリアルナンバーを含むが、シリアルナンバーが空でも有効なメッセージとして受け入れられたとのこと。

将来は治療の効果を上げるため、脳波から抽出したデータを取得する機能が神経刺激装置に搭載される可能性もある。この場合、個人的な知識の有無や、感情、考えなども明らかにできる可能性も論文は指摘する。過去の研究では、脳コンピューターインターフェイス(BCI)に対するサイドチャネル攻撃で、パスワードなどを明らかにできるといったものも発表されている。

このような攻撃を避けるため、論文ではランダムなセッションキーの生成と安全なキー交換、暗号化プロトコルによる安全な通信を含むセキュリティアーキテクチャーを提案している。

関連リンク

  • by jtss (23444) on 2018年04月22日 21時17分 (#3397150)

    体を乗っ取られるといろいろと犯罪者になっちゃいそうだ。(感覚はそのままだから、気持ち的には複雑)
    いや、感覚をのっとられると、パブロフの犬状態か?もしかして記憶をのっとられると、女王様に仕える奴隷に変身か?手足を乗っ取られると、殺人機械か?以前、アニメにスタンドアロンコンプレックスってタイトルのこれに似たのはなかったかな?いや、これ自身も、記憶の情報操作かも。
    「あとから読み返すと、あっちこっちにあるアニメネタだね、これは」

    --
    JTSS
    ここに返信
  • by Anonymous Coward on 2018年04月22日 20時21分 (#3397134)

    BCIってどこまでを考えてるのか知らないけど、
    頭で暗号化キーを思い浮かべないと制御できないような機器は困るよねぇ。
    人の脳が一番のセキュリティホールとか言われるんだろうな。

    ここに返信
    • by Anonymous Coward

      > 人の脳が一番のセキュリティホール

      ソーシャルエンジニアリング?

    • by Anonymous Coward

      BCIってどこまでを考えてるのか知らないけど、
      頭で暗号化キーを思い浮かべないと制御できないような機器は困るよねぇ。

      そこはファイアウォールやルーター下と想定するところではないかね
      なんのためにデバイス入れてるのかわからなくなる

      # マシン語でPCやスマホ使うのが普通の人だったらおっしゃるとおりですが

  • by Anonymous Coward on 2018年04月22日 19時31分 (#3397126)

    「攻性防壁が必要な案件だな。公安9課に連絡せねば」とか思った人は一歩前に出て下さい。

    ここに返信
  • by Anonymous Coward on 2018年04月22日 19時39分 (#3397128)

    ABSTRACTをざっと見て新しいことなさそうだし、こんな内容が「論文」になるの?!

    ここに返信
    • by Anonymous Coward on 2018年04月23日 2時23分 (#3397207)

      論文としての要件を満たしていれば査読に通って論文になります

      • by Anonymous Coward on 2018年04月23日 7時18分 (#3397221)
        元コメは、その要件の中でも一番大切な新規性が欠けていると言っているのでは?
        • by Anonymous Coward

          新規性って業界や学会にもよるけど、必須ではない場合もあるし
          必須だとしても

          ・古典的掲示板におけるユーザ層の高齢化とその影響について考察
          が既にあったとしても

          ・スラドにおける若年層の減少とその影響について考察
          は新規性があると判断して掲載可になるようなケースも

        • by Anonymous Coward

          無線通信機能を備える植え込み型医療機器の脆弱性のデモって過去の実例があるのかな?
          ソフト系では何か目新しいデモをやれば,それだけで評価されるみたいな雰囲気があるが
          #だからみんなしょーもないデモをやりたがる

      • by Anonymous Coward

        脆弱性埋め込んでデバイス作る←論文一つ目
        デバイスを攻撃する←論文二つ目
        脆弱性修正する←論文三つ目

        作り放題だな

        • by Anonymous Coward

          論文てさ、Anonymousじゃなくて、実名所属付きで投稿するんだよね。
          同一人物が一連の論文出したらバレるだろうし、
          脆弱性のあるシステムを組みこんだことがバレたらまずいだろう。

    • by Anonymous Coward

      Proceedingじゃないの?
      Google Scholarで引いたら
      CODASPY '18 Proceedings of the Eighth ACM Conference on Data and Application Security and Privacy, Pages 287-298
      だったよ。

      とはいえ、AbstractとConclusionとFigureしか見てないけど、
      ちょっと分野違いの私から見ると、普通に書けているように見える

  • by Anonymous Coward on 2018年04月22日 20時15分 (#3397132)

    NetBSDの移植はまだかな

    ここに返信
  • by Anonymous Coward on 2018年04月23日 7時24分 (#3397224)

    埋め込み型ならよく聞くけど、最近は植え込み型っていうの?
    植毛?

    ここに返信
    • by Anonymous Coward

      typoじゃね?mが一個抜ければ uekomi になる。

    • by Anonymous Coward

      少なくとも医療系だとそう言うみたい。日本不整脈心電学会が植え込みデバイス関連大会ってのやってる。

      # 最初名前聞いたときおんなじ違和感があった。

    • by Anonymous Coward

      implant(able)の和訳ですね("埋め込み型"だとembedded)
      土壌とは違うものを持ってきて一体にするという意味合いが強調された感じかと

    • by Anonymous Coward

      また毛の話してる・・・

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...