公開日:2016/10/05 最終更新日:2016/10/05

JVNVU#95089754
Animas OneTouch Ping に複数の脆弱性

概要

Animas OneTouch Ping インスリンポンプには、遠隔の第三者によって、患者の治療情報や機器のデータを取得されたり、機器を操作されたりする脆弱性が存在します。

影響を受けるシステム

  • Animas OneTouch Ping

詳細情報

機密情報の平文通信 (CWE-319) - CVE-2016-5084
Animas OneTouch インスリンポンプは、患者の治療情報や暗号化パスワード等の情報を平文で通信しており、遠隔の第三者によって通信の内容を取得される可能性があります。

Animas の親会社である Johnson & Johnson によると、ポンプとリモートコントローラの間で通信されている情報は暗号化されていないため、患者の治療情報を取得されてしまう可能性があるが、この情報には個人を特定できるような情報は含まれていないとのことです。

不十分なランダム値の使用 (CWE-330) - CVE-2016-5085
Animas OneTouch インスリンポンプは CRC32 チェックサム値を暗号化鍵のように使用しています。この CRC32 チェックサムには、ポンプとリモートコントローラの間で認証処理が行われる際、いつも同じ値が使われています。Animas と Rapid 7 によると、ポンプとリモートコントローラの間の通信内容から、リモートコントローラになりすました通信を行うために必要な情報を取得される可能性があるとのことです。

キャプチャリプレイによる認証回避 (CWE-294) - CVE-2016-5086
Animas OneTouch インスリンポンプは独自のプロトコルによる通信を行っており、このプロトコルはキャプチャリプレイ攻撃の対策が不十分です。 Animas と Rapid7 によると、あらかじめ取得した通信内容を使い、リモートコントローラになりすましてポンプにコマンドを送られる可能性があるとのことです。

スプーフィングによる認証回避 (CWE-290) - CVE-2016-5686
Animas OneTouch インスリンポンプは独自のプロトコルによる通信を行っており、このプロトコルはスプーフィング対策が不十分です。報告によると、遠隔の第三者によってポンプの操作に対する応答を偽装される可能性があるとのことです。

想定される影響

遠隔の第三者によって、ポンプとリモートコントローラの間で行われる通信に含まれる患者の治療情報やその他のデータを取得されたり、ポンプに対する操作が行われたり、ポンプからの応答パケットを偽装されることでポンプに対する操作を妨害されたりすることがあります。なお、通信内容から、個人を特定できるような情報を取得されることはありません。

対策方法

Johnson & Johnson によると、ファームウェアをリリースする予定はありませんが、当該製品を使用している患者や医療関係者には通知を送っているとのことです。このほか、Johnson & Johnson は、回避策に関する説明も含め次のような声明を発表しています。

"There are no plans to release a firmware update, however a notification is being sent to patients and HealthCare Professionals. In addition, there are a number of documented and proprietary mitigating controls in place to ensure the safe delivery of insulin, outlined below.
i. If patients are concerned about unauthorized access for any reason, the pump’s radio frequency feature can be turned off, which is explained in Chapter 2 of Section III of the OneTouch® Ping® Owner’s Booklet. However, turning off this feature means that the pump and meter will no longer communicate and blood glucose readings will need to be entered manually on the pump.
ii. If patients choose to use the meter remote feature, another option for protection is to program the OneTouch® Ping® pump to limit the amount of bolus insulin that can be delivered. Bolus deliveries can be limited through a number of customizable settings (maximum bolus amount, 2-hour amount, and total daily dose). Any attempt to exceed or override these settings will trigger a pump alarm and prevent bolus insulin delivery. For more information, please see Chapter 10 of Section I of the OneTouch® Ping® Owner’s Booklet.
iii. The company also suggests turning on the Vibrating Alert feature of the OneTouch® Ping® System, as described in Chapter 4 of Section I. This notifies the user that a bolus dose is being initiated by the meter remote, which gives the patient the option of canceling the bolus.
iv. The bolus delivery alert and the customizable limits on bolus insulin can only be enabled on the pump and cannot be altered by the meter remote. This is also true of basal insulin. Patients can also be reminded that any insulin delivery and the source of the delivery (pump or meter remote) are recorded in the pump history, so patients can review the bolus dosing."

ベンダ情報

ベンダ リンク
Animas Corporation OneTouch Ping® Glucose Management System & Insulin Pump

参考情報

  1. CERT/CC Vulnerability Note VU#884840
    Animas OneTouch Ping insulin pump contains multiple vulnerabilities
  2. Rapid7 Community and Blog
    R7-2016-07: Multiple Vulnerabilities in Animas OneTouch Ping Insulin Pump

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:M/Au:N/C:C/I:C/A:C
基本値: 9.3
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

分析結果のコメント

CERT/CC VU#884840 の記載をもとに、CVSS v2 の評価値のみを表示しています。

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-5084
CVE-2016-5085
CVE-2016-5086
CVE-2016-5686
JVN iPedia