米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月30日(米国時間)、「CISA Releases Fact Sheet Detailing Embedded Backdoor Function of Contec CMS8000 Firmware|CISA」において、Contec Medical Systemsの医療用患者モニタリング装置からバックドアを発見したと報じた。

このバックドアは患者データを密かに送信し、ファイルをダウンロードして実行することが可能とされる。

  • CISA Releases Fact Sheet Detailing Embedded Backdoor Function of Contec CMS8000 Firmware|CISA

    CISA Releases Fact Sheet Detailing Embedded Backdoor Function of Contec CMS8000 Firmware|CISA

Contec Medical Systemsのバックドア

問題のバックドアは、中国を拠点とする医療用機器製造販売企業「Contec Medical Systems」が開発した「CMS8000」から発見された。CMS8000は患者の心電図、心拍数、血中酸素濃度、非観血血圧、体温、呼吸数などを監視する装置とされる。

  • Contec Medical Systems製「CMS8000」 - 引用:CISA発表資料

    Contec Medical Systems製「CMS8000」 引用:CISA発表資料

CISAはCMS8000のファームウェア3件を分析し、これらから次の脆弱性を発見した。

  • CVE-2025-0626 - デバイスのネットワーク設定をバイパスし、ハードコードされたIPアドレスにリモートアクセスする脆弱性。この脆弱性はバックドアとして機能し、任意のファイルをアップロードして既存のファイルを上書きできる(CVSS4.0スコア: 7.7)
  • CVE-2025-0683 - ハードコードされたIPアドレスに患者データを送信する脆弱性。IPアドレスの所有者または中間者攻撃(MITM: Man-in-the-middle attack)によりデータを窃取される可能性がある(CVSS4.0スコア: 8.2)

これら脆弱性を悪用されると、攻撃者にリモートコード実行(RCE: Remote Code Execution)やデバイスの動作を変更される可能性がある。これは患者の健康および安全に深刻な脅威となる。

対策

CISAはバックドアの詳細を「Contec CMS8000 Contains a Backdoor | CISA」にて公開している。当該機器を利用している医療機関には、患者の安全を守るため次の緩和策の実施を推奨している。

  • 当該機器の表示データと、実際の患者データを突き合わせ、異常がないか確認する
  • リモートモニタリング機能を必要とする場合は、当該機器の使用を中止する
  • リモートモニタリング機能を必要としない場合は、イーサネットケーブルを外し、無線機能(Wi-Fi)を無効にする。無線機能を無効にできない場合は、当該機器の使用を中止する

患者本人および介護者が当該機器の使用を確認した場合は、当該機器を管理する医療従事者に通知し、適切な処置を取るよう要求することが推奨されている。なお、現時点ではこのバックドアを悪用した事件および被害は確認されていない。

Contec Medical Systemsは本稿執筆時点において修正パッチを提供していない。そのため、当該機器の脆弱性は修正できない。また、当該機器は製品名、型式を変更して再販売されており、米国食品医薬品局(FDA: Food and Drug Administration)は「Cybersecurity Vulnerabilities with Certain Patient Monitors from Contec and Epsimed: FDA Safety Communication | FDA」において注意を呼びかけている。