コンテンツにスキップ

医療機器テスト🔗

サービス概要🔗

医療機器ハードウェアペネトレーションテストの目的は、機器のハードウェアおよび/またはソフトウェアの脆弱性がどのように悪用され、機器が侵害され、患者ケアや機器の運用性に影響を与えるかを実証することです。テストには、脆弱性の悪用、ユーザー名とパスワードの発見、通信の弱点、ハードウェア設計上の欠陥が含まれます。テストは「チェーンは最も弱いリンクと同じ強さしかない」という概念を証明し、脆弱性評価では特定されなかったセキュリティ上の欠陥を発見します。

サービス手法🔗

医療機器ハードウェアペネトレーションテストは、いくつかのフェーズで構成されており、それぞれの手法について以下に詳述します。Secureworksは、ペネトレーションテスト実行標準(PTES)をペネトレーションテスト実施の標準的な基盤として利用し、テスト中に使用されるツールはペネトレーションテスト実行標準技術ガイドライン(PTES G)でカバーされています。Secureworksはまた、サイバーセキュリティに関するFDAのベストプラクティスに従い、患者の安全性と運用性を確保します。FDAのガイダンスはこちらで確認できます: https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity

スコープの検証🔗

このステップでは、接続された医療機器で使用されている通信方法を検証します。これは安全対策であり、患者の安全性およびその後の発見事項の正確性を確保します。アクティビティには以下が含まれます。

  • Pingスイープおよびルートトレース
  • ネットワークおよびシステムのフットプリンティング
  • ネットワークトラフィックのキャプチャおよびプロトコル解析
    • デバイスの検査
    • デバイスのユースケース特定
    • ハードウェアポートの特定
    • デバイス基板チップの特定
    • 外部サービスのスキャン
  • インターネットドメイン名登録の検索
  • インターネットレジストリ番号の検索
  • ドメインネームサービス(DNS)ルックアップ

脆弱性分析🔗

脆弱性テストは、ローカルおよびネットワーク攻撃シナリオの両方で攻撃者に悪用される可能性のあるシステムやアプリケーションの欠陥を発見するプロセスです。これらの欠陥は、ホストやサービスの設定ミスから安全でないアプリケーション設計やキオスクの回避まで多岐にわたります。欠陥を探すためのプロセスは、テスト対象の機器によって大きく異なります。発見された脆弱性が患者ケアに影響を与える場合、その重要度は高くなります。

オープンネットワークサービスの列挙と悪用🔗

Secureworksは、デバイス通信の監視および操作により、データ漏洩や侵害ベクトルの特定を試みます。通信チャネルには、有線イーサネット、802.11ワイヤレス、Zigbee/ZWave、CANバス、シリアルなどが含まれます。手法は以下に限定されません。

  • パッシブモニタリング
  • 中間者攻撃によるパケットスニッフィング
  • 暗号化ダウングレード攻撃
  • 認証情報のキャプチャ

手動検証🔗

自動スキャンツールでは一部の脆弱性が報告されません。医療機器は患者ケアと安全性の重要な要素です。そのため、手動検証は自動スキャンに依存しません。自動スキャン結果のみに依存するテスト手法は、誤った安全感を与えます。自動スキャンツールは、実際には存在しない脆弱性(誤検知)を報告することがよくあります。自動スキャンで発見された脆弱性については、手動検証により報告内容の正確性を確保し、報告された脆弱性が実際の環境を正確に反映していることを保証します。この重要なステップを省略すると、存在しない脆弱性の修正に無駄な時間を費やすことになります。すべての脆弱性は検証・確認され、患者ケア手順への影響度とともに評価されます。

悪用🔗

医療機器テストの悪用フェーズは、セキュリティ制限を回避してシステムやリソースへのアクセスを確立することのみに焦点を当てます。主な目的は、機器への主な侵入経路を特定し、患者ケアや安全性に影響を与える可能性のある後続の問題を特定することです。最終的には、攻撃ベクトルは成功確率と患者および組織への最大の影響を考慮する必要があります。

物理/ハードウェア🔗

Secureworksは、物理設計および機器のハードウェアにおける脆弱性を特定し、機器を侵害することを試みます。手法は以下に限定されません。

  • 改ざん検知の回避
  • PCIe、Thunderbolt、USB3などを介したダイレクトメモリアクセス
  • デバッグおよびプログラミングの悪用:JTAG、UART、SPI、ICSPなど
  • 直接ストレージ攻撃

ポストエクスプロイト🔗

ポストエクスプロイトの取り組みは、接続された機器やネットワークシステムに対する後続の攻撃で利用される可能性のある欠陥の特定に焦点を当てます。多くの場合、静的暗号鍵、ハードコードされたパスワード、.DLLハイジャック、その他の種類の脆弱性や欠陥がポストエクスプロイトの過程で発見されます。知的財産の窃盗に対するコントロールは、このエンゲージメントの一部でテストされ、多くの組織が機器上に存在する知的財産の管理を望んでいます。リバースエンジニアリングの取り組みは、バイナリファイル内のハードコードされたパスワードの特定にも役立ちます。

ファームウェア🔗

  • テスト中にSecureworksがファームウェアへのアクセスを得た場合、追加攻撃のためにファームウェアをリバースエンジニアリングします。

成果物🔗

Secureworksがまとめた発見事項および成果物は、レポートの形でお客様に提供されます。レポートには以下が含まれます。

  • エグゼクティブサマリー
  • 手法、詳細な発見事項、説明、および推奨事項(該当する場合)
  • 関連する詳細および補足データのための添付資料

お客様は、レポート納品から1週間以内に、最終レポートに含めるコメントを提出することができます。レビュー期間満了前にお客様からコメントがない場合、レポートは最終版とみなされます。

サービス完了時には、お客様指定の連絡先にSecureworksからセキュア/暗号化されたメールによる確認が送信されます。お客様指定の連絡先から書面による異議申し立てがない限り、そのメール確認から5営業日以内に、本サービスおよび本SOWは完了したものとみなされます。

スコーピング情報🔗

医療機器テスト🔗

スコープ 説明
医療機器テスト - 小規模 1台の医療機器

スケジューリングおよび予約情報🔗

本サービスのスケジューリングに関する情報は、サービススケジューリングをご参照ください。