メディカルシステム製品セキュリティ情報

1. 「Apache Log4j」の脆弱性（Log4Shell）
   Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性（CVE-2021-44228）があることがわかりました。
   詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://logging.apache.org/log4j/2.x/security.html
   https://www.jpcert.or.jp/at/2021/at210050.html
2. 本脆弱性問題の弊社製品への影響
   Apache Log4jの該当するバージョンを使用している弊社製品と対応状況は以下のとおりです。
   その他の製品では、本脆弱性の影響を受けません。

1. BlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」の脆弱性
   BlackBerry社は、QNXリアルタイムオペレーティングシステム（RTOS）の脆弱性(CVE-2021-22156)を公表しました。
   本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
   https://us-cert.cisa.gov/ncas/alerts/aa21-229a
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/fms/ja/about/office/sales-office

1. Treck製TCP/IPスタック脆弱性問題（Ripple20）
   Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
   本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.jsof-tech.com/ripple20
   https://jvn.jp/vu/JVNVU94736763/
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/fms/ja/about/office/sales-office

1. Bluetooth Low Energy 脆弱性問題（SweynTooth）
   FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
   【外部参考ウェブサイト】
   https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
   Bluetooth Low Energy（BLE）として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。
2. 本脆弱性について
   本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBluetooth Low Energy（BLE）を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/fms/ja/about/office/sales-office

1. Windowsリモートデスクトップサービス脆弱性問題（BlueKeep，DejaBlue）
   Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス（他のコンピュータから遠隔操作するためのソフトウェア）にセキュリティ上の脆弱性（CVE-2019-0708(BlueKeep), CVE-2019-1181およびCVE-2019-1182(DejaBlue)）があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。
2. 本脆弱性問題の弊社製品への影響
   弊社製品において本脆弱性による影響はありませんが、Microsoft社より対策パッチが公開されているため、対象となるWindowsを使用している製品では、パッチ適用評価も実施し完了しております。パッチ適用をご希望されるお客さまは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。なお、弊社製品のセキュリティを維持するために、お客さまのネットワークでのセキュリティ確保は、下記3項をご参照ください。
   【お問い合わせ】
   https://www.fujifilm.com/fms/ja/about/office/sales-office
3. ご参考
   リモートデスクトップサービス脆弱性問題への対策としては、お客さまのネットワーク環境において、以下の対策が有効です。 
   
   ① リモートデスクトップサービスの使用を許可しない。
   Windowsの設定で、リモートデスクトップの使用の許可と使用しない設定が可能な場合は、許可しない設定とする。
   
   ② 通信ルートの制御
   弊社製品が接続しているネットワークにおいて、弊社製品へのアクセスを許可するコンピュータ以外からの通信を禁止するように、ネットワーク機器を設定する。
   
   ③ 通信プロトコルおよび通信ポートの制御
   リモートデスクトップサービスに対する攻撃は、下記の通信プロトコルおよび通信ポートを利用するので、それらの通信を許可しないように、ネットワーク機器を設定する。

1. VxWorksの脆弱性問題（URGENT/11）
   Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。
2. 本脆弱性について
   URGENT/11とはVxWorksのTCP/IPスタック（IPnet）に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
   https://www.armis.com/research/urgent11/
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/fms/ja/about/office/sales-office

1. 「Apache Log4j」の脆弱性（Log4Shell）
   Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性（CVE-2021-44228）があることがわかりました。
   詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://logging.apache.org/log4j/2.x/security.html
   https://www.jpcert.or.jp/at/2021/at210050.html
2. 本脆弱性問題の弊社製品への影響
   弊社製品において、Apache Log4jの該当するバージョンが搭載されていないため、本脆弱性の影響を受けないと判断しました。 
   しかし、弊社製品の保守に利用しています、リモートサービス用の弊社サーバにおいて、Apache Log4jの該当するバージョンが搭載されていましたが、脆弱性が含まれる機能を無効化し対策を完了しています。
   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products
   なお、現時点で明確になっている情報を元に記載しておりますが、必要に応じて、情報更新します。

1. BlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」の脆弱性
   BlackBerry社は、QNXリアルタイムオペレーティングシステム（RTOS）の脆弱性(CVE-2021-22156)を公表しました。
   本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
   https://us-cert.cisa.gov/ncas/alerts/aa21-229a
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。

   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products

1. Treck製TCP/IPスタック脆弱性問題（Ripple20）
   Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
   本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.jsof-tech.com/ripple20
   https://jvn.jp/vu/JVNVU94736763/
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。
   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products

1. Bluetooth Low Energy 脆弱性問題（SweynTooth）
   FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
   【外部参考ウェブサイト】
   https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
    Bluetooth Low Energy（BLE）として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。
2. 本脆弱性について
   本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBluetooth Low Energy（BLE）を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。
   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products

1. Windowsリモートデスクトップサービス脆弱性問題（BlueKeep, DejaBlue）
   Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス（他のコンピュータから遠隔操作するためのソフトウェア）にセキュリティ上の脆弱性（CVE-2019-0708(BlueKeep), CVE-2019-1181 および CVE-2019-1182(DejaBlue)）があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。
2. 本脆弱性問題の弊社製品への影響
   弊社製品において、以下に示す製品以外は、本脆弱性が内在するOSを搭載していない、または、リモートデスクトップサービスが無効化されており、本脆弱性による影響はありません。

   
   弊社の一部の製品において、リモートデスクトップサービスが有効化されています。想定されるネットワーク環境では本脆弱性の影響は小さいと判断しています。お客さまのご要望により、リモートデスクトップサービスの無効化等の対応が可能です。

   弊社の健診関連パッケージにおいて、保守対応のためリモートデスクトップサービスを利用していますが、通信ルートの制御を行った環境下でご使用いただいているため、本脆弱性による影響はありません。
   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products

1. VxWorksの脆弱性問題（URGENT/11）
   Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。
2. 本脆弱性について
   URGENT/11とはVxWorksのTCP/IPスタック（IPnet）に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
   https://www.armis.com/research/urgent11/
3. 本脆弱性問題の弊社製品への影響
   弊社製品において、以下に示す製品以外は、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響はありません。

   
   弊社のMRIシステムにおいて、画像処理プロセッサとしてVxWorksが使用されていますが、機器構成上、本脆弱性を攻撃できる可能性が十分に低く、本脆弱性の影響を受けないと判断しています。
   【お問い合わせ】
   https://www.fujifilm.com/fhc/ja/form/products

1. 「Apache Log4j」の脆弱性（Log4Shell）
   Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性（CVE-2021-44228）があることがわかりました。
   詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://logging.apache.org/log4j/2.x/security.html
   https://www.jpcert.or.jp/at/2021/at210050.html
2. 本脆弱性問題の弊社製品への影響
   弊社製品は、本脆弱性の影響を受けないと判断しました。

   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. BlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」の脆弱性
   BlackBerry社は、QNXリアルタイムオペレーティングシステム（RTOS）の脆弱性(CVE-2021-22156)を公表しました。
   本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
   https://us-cert.cisa.gov/ncas/alerts/aa21-229a
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。

   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. Treck製TCP/IPスタック脆弱性問題（Ripple20）
   Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
   本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.jsof-tech.com/ripple20
   https://jvn.jp/vu/JVNVU94736763/
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。
   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. Bluetooth Low Energy 脆弱性問題（SweynTooth）
   FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
   【外部参考ウェブサイト】
   https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
   Bluetooth Low Energy（BLE）として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。
2. 本脆弱性について
   本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBluetooth Low Energy（BLE）を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。
   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. Windowsリモートデスクトップサービス脆弱性問題（BlueKeep, DejaBlue）
   Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス（他のコンピュータから遠隔操作するためのソフトウェア）にセキュリティ上の脆弱性（CVE-2019-0708(BlueKeep), CVE-2019-1181 および CVE-2019-1182(DejaBlue)）があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。
2. 本脆弱性問題の弊社製品への影響
   弊社製品において、原則として、リモートデスクトップサービスが無効化されており、本脆弱性による影響はありません

   
   一部製品において、リモートデスクトップサービスが有効化されておりますが、通信ルートの制御を行った環境下でご使用いただいているため、本脆弱性による影響はありません。
   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. VxWorksの脆弱性問題（URGENT/11）
   Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。
2. 本脆弱性について
   URGENT/11とはVxWorksのTCP/IPスタック（IPnet）に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
   https://www.armis.com/research/urgent11/
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。
   【お問い合わせ】
   https://www.fujifilm.com/hcs/ja/form/products

1. 「Apache Log4j」の脆弱性（Log4Shell）
   Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性（CVE-2021-44228）があることがわかりました。
   詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://logging.apache.org/log4j/2.x/security.html
   https://www.jpcert.or.jp/at/2021/at210050.html
2. 本脆弱性問題の弊社製品への影響
   Apache Log4jの該当バージョンを使用している弊社製品と対応状況は以下のとおりです。
   また、下記製品につきましても、製品機能の利用状況により、影響を受けない場合もあります。

本件に関するお客さまからのお問い合わせは、最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office

1. BlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」の脆弱性
   BlackBerry社は、QNXリアルタイムオペレーティングシステム（RTOS）の脆弱性(CVE-2021-22156)を公表しました。
   本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
   https://us-cert.cisa.gov/ncas/alerts/aa21-229a
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム（RTOS）「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/ffms/ja/about/office

1. Treck製TCP/IPスタック脆弱性問題（Ripple20）
   Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
   本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.jsof-tech.com/ripple20
   https://jvn.jp/vu/JVNVU94736763/
2. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/ffms/ja/about/office

1. VxWorksの脆弱性問題（URGENT/11）
   Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。
2. 本脆弱性について
   URGENT/11とはVxWorksのTCP/IPスタック（IPnet）に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
   【外部参考ウェブサイト】
   https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
   https://www.armis.com/research/urgent11/
3. 本脆弱性問題の弊社製品への影響
   弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
   【お問い合わせ】
   https://www.fujifilm.com/ffms/ja/about/office

現在、緊急でご案内するお知らせはございません。