このコンテンツは医療従事者向けの内容です。
- PTC社製リモートサービス用ソフトウェア「Axeda」の脆弱性
PTC社製のリモートサービス用ソフトウェア「Axeda」に脆弱性が発見されました。
本脆弱性が攻撃者に悪用されると、情報の漏洩や改ざんなどの被害を受ける可能性があります。
脆弱性の詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.ptc.com/en/support/article/CS363561
https://jvn.jp/vu/JVNVU97043819/index.html - 本脆弱性問題の弊社製品への影響
本脆弱性の影響を受ける製品は、X線撮影に関わる以下の製品です。
リモート保守のために追加でインストールしたActive Lineで「Axeda」を使用しておりました。
CR Console、Console Advance、C@RNACORE、V Station、AMULET AWSシリーズ
その他の製品では、影響を受けません。 - 本脆弱性問題の弊社製品への対応
弊社製品はセキュリティの確保された安全なネットワーク環境でご使用いただいていますので、本脆弱性が、弊社製品において実際に悪用される可能性は低いと判断しておりますが、潜在的な危険を最小限に抑えるために、インストールされている「Axeda」のアンインストールをお願いいたします。
短時間でアンインストールが可能ですので、業務使用前や終了後の可能なタイミングで実施をお願いいたします。
| 対象となるACTIVE LINE | お願いの内容 |
|---|---|
| 以前ACTIVE LINEをご利用いただきました機器(お試し利用も含みます) 現在もACTIVE LINEをご利用いただいている機器は対象外です |
こちらの手順に従ってアンインストールをお願いいたします。 |
本件に関するお客さまからのお問い合わせは、以下までご連絡ください。
富士フイルムメディカル株式会社 テクニカルサポートセンター TEL:0570-02-7007(24 時間受付)
- 「Apache Log4j」の脆弱性(Log4Shell)
Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性(CVE-2021-44228)があることがわかりました。
詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html - 本脆弱性問題の弊社製品への影響
Apache Log4jの該当するバージョンを使用している弊社製品と対応状況は以下のとおりです。
その他の製品では、本脆弱性の影響を受けません。
| 製品・サービス | 対応状況 |
|---|---|
| 病院層・クリニック層向けリモートサービス ACTIVE LINEで使用しているアンチウィルスソフト |
パッチ適用を完了し、対策済 |
| SYNAPSE VNA(V6.3以降) | パッチ適用準備完了 |
| 放射線レポートResultManager(V3.7以降の全文検索オプション使用先) | 脆弱性対応準備完了 |
本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性
BlackBerry社は、QNXリアルタイムオペレーティングシステム(RTOS)の脆弱性(CVE-2021-22156)を公表しました。
本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://us-cert.cisa.gov/ncas/alerts/aa21-229a - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- Treck製TCP/IPスタック脆弱性問題(Ripple20)
Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.jsof-tech.com/ripple20
https://jvn.jp/vu/JVNVU94736763/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- Bluetooth Low Energy 脆弱性問題(SweynTooth)
FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
【外部参考ウェブサイト】
https://public4.pagefreezer.com/browse/FDA/08-02-2023T11:48/https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
Bluetooth Low Energy(BLE)として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。 - 本脆弱性について
本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01 - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBluetooth Low Energy(BLE)を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- Windowsリモートデスクトップサービス脆弱性問題(BlueKeep,DejaBlue)
Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス(他のコンピュータから遠隔操作するためのソフトウェア)にセキュリティ上の脆弱性(CVE-2019-0708(BlueKeep), CVE-2019-1181およびCVE-2019-1182(DejaBlue))があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。 - 本脆弱性問題の弊社製品への影響
弊社製品において、以下に示す製品以外は、本脆弱性が内在するOSを搭載していない、または、リモートデスクトップサービスが無効化されており、本脆弱性による影響はありません。
弊社のMRI、CT、X線画像診断システムの一部製品において、リモートデスクトップサービスが有効化されています。想定されるネットワーク環境では本脆弱性の影響は小さいと判断しています。お客さまのご要望により、リモートデスクトップサービスの無効化等の対応が可能です。
弊社の健診関連パッケージにおいて、保守対応のためリモートデスクトップサービスを利用していますが、通信ルートの制御を行った環境下でご使用いただいているため、本脆弱性による影響はありません。
本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- VxWorksの脆弱性問題(URGENT/11)
Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。 - 本脆弱性について
URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
https://www.armis.com/research/urgent11/ - 本脆弱性問題の弊社製品への影響
弊社製品において、以下に示す製品以外は、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響はありません。
弊社のMRIシステムにおいて、画像処理プロセッサとしてVxWorksが使用されていますが、機器構成上、本脆弱性を攻撃できる可能性が十分に低く、本脆弱性の影響を受けないと判断しています。
本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
- 「Apache Log4j」の脆弱性(Log4Shell)
Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性(CVE-2021-44228)があることがわかりました。
詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html - 本脆弱性問題の弊社製品への影響
Apache Log4jの該当バージョンを使用している弊社製品と対応状況は以下のとおりです。
また、下記製品につきましても、製品機能の利用状況により、影響を受けない場合もあります。
| 製品・サービス | 対応状況 |
|---|---|
| ShadeQuest/Report(V1.14.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
| ShadeQuest/TheraRIS(V3.03.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
| ShadeQuest/Serv(V5.00.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
本件に関するお客さまからのお問い合わせは、最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
- BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性
BlackBerry社は、QNXリアルタイムオペレーティングシステム(RTOS)の脆弱性(CVE-2021-22156)を公表しました。
本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://us-cert.cisa.gov/ncas/alerts/aa21-229a - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
- Treck製TCP/IPスタック脆弱性問題(Ripple20)
Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.jsof-tech.com/ripple20
https://jvn.jp/vu/JVNVU94736763/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
- VxWorksの脆弱性問題(URGENT/11)
Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。 - 本脆弱性について
URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
https://www.armis.com/research/urgent11/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
現在、緊急でご案内するお知らせはございません。
現在、緊急でご案内するお知らせはございません。