このコンテンツは医療従事者向けの内容です。
製品・サービスセキュリティ関連情報(勧告:Advisory)
富士フイルム・富士フイルムメディカル
PTC社製リモートサービス用ソフトウェア「Axeda(アクシーダ)」の脆弱性への対応について(2022)
- PTC社製リモートサービス用ソフトウェア「Axeda」の脆弱性
PTC社製のリモートサービス用ソフトウェア「Axeda」に脆弱性が発見されました。
本脆弱性が攻撃者に悪用されると、情報の漏洩や改ざんなどの被害を受ける可能性があります。
脆弱性の詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.ptc.com/en/support/article/CS363561
https://jvn.jp/vu/JVNVU97043819/index.html - 本脆弱性問題の弊社製品への影響
本脆弱性の影響を受ける製品は、X線撮影に関わる以下の製品です。
リモート保守のために追加でインストールしたActive Lineで「Axeda」を使用しておりました。
CR Console、Console Advance、C@RNACORE、V Station、AMULET AWSシリーズ
その他の製品では、影響を受けません。 - 本脆弱性問題の弊社製品への対応
弊社製品はセキュリティの確保された安全なネットワーク環境でご使用いただいていますので、本脆弱性が、弊社製品において実際に悪用される可能性は低いと判断しておりますが、潜在的な危険を最小限に抑えるために、インストールされている「Axeda」のアンインストールをお願いいたします。
短時間でアンインストールが可能ですので、業務使用前や終了後の可能なタイミングで実施をお願いいたします。
| 対象となるACTIVE LINE | お願いの内容 |
|---|---|
| 以前ACTIVE LINEをご利用いただきました機器(お試し利用も含みます) 現在もACTIVE LINEをご利用いただいている機器は対象外です |
こちらの手順に従ってアンインストールをお願いいたします。 |
本件に関するお客さまからのお問い合わせは、以下までご連絡ください。
富士フイルムメディカル株式会社 テクニカルサポートセンター TEL:0570-02-7007(24 時間受付)
Apache Log4j の脆弱性(Log4Shell)への対応について(2021)
- 「Apache Log4j」の脆弱性(Log4Shell)
Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性(CVE-2021-44228)があることがわかりました。
詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html - 本脆弱性問題の弊社製品への影響
Apache Log4jの該当するバージョンを使用している弊社製品と対応状況は以下のとおりです。
その他の製品では、本脆弱性の影響を受けません。
| 製品・サービス | 対応状況 |
|---|---|
| 病院層・クリニック層向けリモートサービス ACTIVE LINEで使用しているアンチウィルスソフト |
パッチ適用を完了し、対策済 |
| SYNAPSE VNA(V6.3以降) | パッチ適用を準備中です。 |
| 放射線レポートResultManager(V3.7以降の全文検索オプション使用先) | パッチ適用を準備中です。 |
本件に関するお客さまからのお問い合わせは、最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性への対応について(2021)
- BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性
BlackBerry社は、QNXリアルタイムオペレーティングシステム(RTOS)の脆弱性(CVE-2021-22156)を公表しました。
本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://us-cert.cisa.gov/ncas/alerts/aa21-229a - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
Treck製TCP/IPスタックの複数の脆弱性(Ripple20)への対応について(2020)
- Treck製TCP/IPスタック脆弱性問題(Ripple20)
Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.jsof-tech.com/ripple20
https://jvn.jp/vu/JVNVU94736763/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
Bluetooth Low Energy 脆弱性問題(SweynTooth)への対応について(2020)
- Bluetooth Low Energy 脆弱性問題(SweynTooth)
FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
【外部参考ウェブサイト】
https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
Bluetooth Low Energy(BLE)として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。 - 本脆弱性について
本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01 - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBluetooth Low Energy(BLE)を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
Windowsリモートデスクトップサービス脆弱性問題(BlueKeep, DejaBlue)への対応について(2019)
- Windowsリモートデスクトップサービス脆弱性問題(BlueKeep,DejaBlue)
Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス(他のコンピュータから遠隔操作するためのソフトウェア)にセキュリティ上の脆弱性(CVE-2019-0708(BlueKeep), CVE-2019-1181およびCVE-2019-1182(DejaBlue))があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。 - 本脆弱性問題の弊社製品への影響
弊社製品において本脆弱性による影響はありませんが、Microsoft社より対策パッチが公開されているため、対象となるWindowsを使用している製品では、パッチ適用評価も実施し完了しております。パッチ適用をご希望されるお客さまは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。なお、弊社製品のセキュリティを維持するために、お客さまのネットワークでのセキュリティ確保は、下記3項をご参照ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office - ご参考
リモートデスクトップサービス脆弱性問題への対策としては、お客さまのネットワーク環境において、以下の対策が有効です。
① リモートデスクトップサービスの使用を許可しない。
Windowsの設定で、リモートデスクトップの使用の許可と使用しない設定が可能な場合は、許可しない設定とする。
② 通信ルートの制御
弊社製品が接続しているネットワークにおいて、弊社製品へのアクセスを許可するコンピュータ以外からの通信を禁止するように、ネットワーク機器を設定する。
③ 通信プロトコルおよび通信ポートの制御
リモートデスクトップサービスに対する攻撃は、下記の通信プロトコルおよび通信ポートを利用するので、それらの通信を許可しないように、ネットワーク機器を設定する。
- 使用するサービス
リモートデスクトップサービス
- プロトコル種別と使用ポート番号
TCPの3389番ポート
VxWorks脆弱性問題(URGENT/11)への対応について(2019)
- VxWorksの脆弱性問題(URGENT/11)
Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。 - 本脆弱性について
URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
https://www.armis.com/research/urgent11/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルムメディカル支社か営業所までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/fms/ja/about/office/sales-office
富士フイルムヘルスケア
Apache Log4j の脆弱性(Log4Shell)への対応について(2021)
- 「Apache Log4j」の脆弱性(Log4Shell)
Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性(CVE-2021-44228)があることがわかりました。
詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html - 本脆弱性問題の弊社製品への影響
弊社製品において、Apache Log4jの該当するバージョンが搭載されていないため、本脆弱性の影響を受けないと判断しました。
しかし、弊社製品の保守に利用しています、リモートサービス用の弊社サーバにおいて、Apache Log4jの該当するバージョンが搭載されていましたが、脆弱性が含まれる機能を無効化し対策を完了しています。
【お問い合わせ】
https://www.fujifilm.com/fhc/ja/contact
なお、現時点で明確になっている情報を元に記載しておりますが、必要に応じて、情報更新します。
BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性への対応について(2021)
- BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性
BlackBerry社は、QNXリアルタイムオペレーティングシステム(RTOS)の脆弱性(CVE-2021-22156)を公表しました。
本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://us-cert.cisa.gov/ncas/alerts/aa21-229a - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。
Treck製TCP/IPスタックの複数の脆弱性(Ripple20)への対応について(2020)
- Treck製TCP/IPスタック脆弱性問題(Ripple20)
Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.jsof-tech.com/ripple20
https://jvn.jp/vu/JVNVU94736763/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。
【お問い合わせ】
https://www.fujifilm.com/fhc/ja/contact
Bluetooth Low Energy 脆弱性問題(SweynTooth)への対応について(2020)
- Bluetooth Low Energy 脆弱性問題(SweynTooth)
FDAが2020年3月3日に以下のFDA Safety Communicationを発出しました。
【外部参考ウェブサイト】
https://www.fda.gov/medical-devices/safety-communications/sweyntooth-cybersecurity-vulnerabilities-may-affect-certain-medical-devices-fda-safety-communication
Bluetooth Low Energy(BLE)として知られるワイヤレス通信技術に関連する「SweynTooth」と呼ばれる脆弱性情報について記載されています。 - 本脆弱性について
本脆弱性の悪用に成功すると、無線範囲内の攻撃者は状況に応じてデッドロック、クラッシュ、バッファオーバーフローを引き起こしたり、セキュリティを完全にバイパスしたりすることができます。詳細は下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.us-cert.gov/ics/alerts/ics-alert-20-063-01 - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBluetooth Low Energy(BLE)を使用するBluetooth機能を搭載していません。そのため、本脆弱性の影響を受けないと判断しました。
【お問い合わせ】
https://www.fujifilm.com/fhc/ja/contact
Windowsリモートデスクトップサービス脆弱性問題(BlueKeep, DejaBlue)への対応について(2019)
- Windowsリモートデスクトップサービス脆弱性問題(BlueKeep, DejaBlue)
Microsoft社は、Windows OSに搭載されているリモートデスクトップサービス(他のコンピュータから遠隔操作するためのソフトウェア)にセキュリティ上の脆弱性(CVE-2019-0708(BlueKeep), CVE-2019-1181 および CVE-2019-1182(DejaBlue))があることを公開しました。この脆弱性が悪用された場合、攻撃者によりプログラムのインストール、データの表示、変更、削除などが行われる可能性があります。 - 本脆弱性問題の弊社製品への影響
弊社製品において、以下に示す製品以外は、本脆弱性が内在するOSを搭載していない、または、リモートデスクトップサービスが無効化されており、本脆弱性による影響はありません。
弊社の一部の製品において、リモートデスクトップサービスが有効化されています。想定されるネットワーク環境では本脆弱性の影響は小さいと判断しています。お客さまのご要望により、リモートデスクトップサービスの無効化等の対応が可能です。弊社の健診関連パッケージにおいて、保守対応のためリモートデスクトップサービスを利用していますが、通信ルートの制御を行った環境下でご使用いただいているため、本脆弱性による影響はありません。
【お問い合わせ】
https://www.fujifilm.com/fhc/ja/contact
VxWorks脆弱性問題(URGENT/11)への対応について(2019)
- VxWorksの脆弱性問題(URGENT/11)
Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。 - 本脆弱性について
URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
https://www.armis.com/research/urgent11/ - 本脆弱性問題の弊社製品への影響
弊社製品において、以下に示す製品以外は、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響はありません。
弊社のMRIシステムにおいて、画像処理プロセッサとしてVxWorksが使用されていますが、機器構成上、本脆弱性を攻撃できる可能性が十分に低く、本脆弱性の影響を受けないと判断しています。
【お問い合わせ】
https://www.fujifilm.com/fhc/ja/contact
富士フイルム医療ソリューションズ
Apache Log4j の脆弱性(Log4Shell)への対応について(2021)
- 「Apache Log4j」の脆弱性(Log4Shell)
Log4j は、Javaアプリケーションで広く使われているロギングツールで、Apache Software Foundation から提供されています。Log4jのバージョン2.0-beta9から2.14.1には、攻撃者がリモートで任意のコードを実行する脆弱性(CVE-2021-44228)があることがわかりました。
詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://logging.apache.org/log4j/2.x/security.html
https://www.jpcert.or.jp/at/2021/at210050.html - 本脆弱性問題の弊社製品への影響
Apache Log4jの該当バージョンを使用している弊社製品と対応状況は以下のとおりです。
また、下記製品につきましても、製品機能の利用状況により、影響を受けない場合もあります。
| 製品・サービス | 対応状況 |
|---|---|
| ShadeQuest/Report(V1.14.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
| ShadeQuest/TheraRIS(V3.03.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
| ShadeQuest/Serv(V5.00.00以降) | バージョンにより、パッチを作成済み、または、準備中です。 |
本件に関するお客さまからのお問い合わせは、最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性への対応について(2021)
- BlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」の脆弱性
BlackBerry社は、QNXリアルタイムオペレーティングシステム(RTOS)の脆弱性(CVE-2021-22156)を公表しました。
本脆弱性を悪用されることで、サービス拒否状態を引き起こしたり、影響を受けたデバイスで任意のコードを実行したりする可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
https://us-cert.cisa.gov/ncas/alerts/aa21-229a - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるBlackBerry製リアルタイムオペレーティングシステム(RTOS)「QNX」を使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問合せは、添付文書に記載されている問合せ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
Treck製TCP/IPスタックの複数の脆弱性(Ripple20)への対応について(2020)
- Treck製TCP/IPスタック脆弱性問題(Ripple20)
Ripple20と呼ばれるTreck製TCP/IPスタックにおける19件の脆弱性が見つかりました。
本脆弱性を悪用されることで、リモートでの任意のコード実行、サービス運用妨害、情報漏洩等の被害を受ける可能性があります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.jsof-tech.com/ripple20
https://jvn.jp/vu/JVNVU94736763/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるTreck製TCP/IPを使用していません。そのため、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
VxWorks脆弱性問題(URGENT/11)への対応について(2019)
- VxWorksの脆弱性問題(URGENT/11)
Wind River社のHPにて、URGENT/11と呼ばれるVxWorksの重大な脆弱性情報が通知されており、至急の修正対応が勧告されています。 - 本脆弱性について
URGENT/11とはVxWorksのTCP/IPスタック(IPnet)に発見された11件の脆弱性であり、うち6件はリモートコード実行を可能にする重大な脆弱性に分類されています。そのほかの脆弱性も、サービス妨害や情報流出などに悪用される恐れがあります。詳細は、下記外部参考ウェブサイトに記載されています。
【外部参考ウェブサイト】
https://www.windriver.com/security/announcements/tcp-ip-network-stack-ipnet-urgent11/
https://www.armis.com/research/urgent11/ - 本脆弱性問題の弊社製品への影響
弊社製品では、本脆弱性のあるIPnetを使用したVxWorksを搭載しておらず、本脆弱性の影響を受けないと判断しました。本件に関するお客さまからのお問い合わせは、添付文書に記載されている問い合わせ先までご連絡ください。添付文書のない製品に関するお問い合わせは最寄りの富士フイルム医療ソリューションズ株式会社までご連絡ください。
【お問い合わせ】
https://www.fujifilm.com/ffms/ja/about/office
お知らせ
現在、緊急でご案内するお知らせはございません。