日本
Global

メディカルシステム製品セキュリティ情報

このコンテンツは医療従事者向けの内容です。

製品・サービスセキュリティ関連情報(勧告:Advisory)

Bluetooth Low Energy 脆弱性問題(SweynTooth)への対応について(2020)
  1. Bluetooth Low Energy 脆弱性問題(SweynTooth)
    FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
    SweynTooth Cybersecurity Vulnerabilities May Affect Certain Medical Devices(FDA Safety Communication)
    Bluetooth Low Energy(BLE)として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。
  2. 本脆弱性について
    本脆弱性の悪用に成功すると、無線範囲の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記参考ウェブサイトに記載されています。
    【参考ウェブサイト】
    https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01
  3. 本脆弱性問題の弊社装置への影響
    弊社製品では、本脆弱性のあるBluetooth Low Energy(BLE)を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客様からのお問合せは、添付文書に記載されている問合せ先にお問い合わせください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所にお問い合わせください。
  1. Windowsリモートデスクトップサービス脆弱性問題とは
    Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス(他のコンピュータから遠隔操作するためのソフトウェア)にセキュリティ上の脆弱性(CVE-2019-0708, CVE-2019-1181 and CVE-1182)があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。
  2. リモートデスクトップサービス脆弱性問題の弊社装置への影響
    弊社製品において本脆弱性による影響はありませんが、Microsoft社より対策パッチが公開されているため、対象となるWindowsを使用している製品では、パッチ適用評価も実施し完了しております。パッチ適用をご希望されるお客様は、添付文書に記載されている問合せ先にお問い合わせください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所にお問い合わせください。なお、弊社装置のセキュリティを維持するために、お客様のネットワークでのセキュリティ確保は、下記3項をご参照ください。
  3. ご参考
    リモートデスクトップサービス脆弱性問題への対策としては、お客様のネットワーク環境において、以下の対策が有効です。 

    ① リモートデスクトップサービスの使用を許可しない。
    Windowsの設定で、リモートデスクトップの使用の許可と使用しない設定が可能な場合は、許可しない設定とする。

    ② 通信ルートの制御 
    弊社装置が接続しているネットワークにおいて、弊社装置へのアクセスを許可するコンピュータ以外からの通信を禁止するように、ネットワーク機器を設定する。 

    ③ 通信プロトコル及び通信ポートの制御 
    リモートデスクトップサービスに対する攻撃は、下記の通信プロトコル及び通信ポートを利用するので、それらの通信を許可しないように、ネットワーク機器を設定する。 

使用するサービス 

リモートデスクトップサービス 

プロトコル種別と使用ポート番号 

TCPの3389番ポート

  1. VxWorksの脆弱性とは
    Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、
    至急の修正対応が勧告されています。
  2. 本脆弱性について
    URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記参考ウェブサイトに記載されています。
    【参考ウェブサイト】
    TCP/IP Network Stack (IPnet, Urgent/11)  (Wind River)
    URGENT/11  (Armis)
  3. VxWorks Urgent/11 脆弱性問題の弊社装置への影響
    弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客様からのお問合せは、添付文書に記載されている問合せ先にお問い合わせください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所にお問い合わせください。

お知らせ

現在、緊急でご案内するお知らせはございません。