セキュリティ

SECURITY

公開：2024-12-20

【CVE-2024-10476】BD Diagnosticソリューション製品にデフォルト認証情報の脆弱性、医療情報漏洩のリスクに早急な対応が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• BD DiagnosticソリューションでCVE-2024-10476が発見
• デフォルト認証情報の脆弱性により情報漏洩のリスク
• CVSS3.1で深刻度8.0のHIGHに分類

BD Diagnosticソリューション製品のデフォルト認証情報に関する脆弱性

Becton, Dickinson And Company（BD）は、同社のDiagnosticソリューション製品群にデフォルト認証情報に関する脆弱性【CVE-2024-10476】を2024年12月17日に公開した。この脆弱性が悪用された場合、攻撃者による保護された医療情報や個人識別情報へのアクセス、改ざん、削除が可能となるリスクがある。^[1]

影響を受ける製品は、BACTEC Blood Culture System 7.20以前、BD COR System 8.90以前、EpiCenter Microbiology Data Management System 7.45以前、BD MAX System 6.10以前、Phoenix M50 Automated Microbiology System 2.70以前、BD Synapsys Informatics Solution 6.10以前となっている。BD Synapsys Informatics Solutionに関しては、NUCサーバーにインストールされている場合のみが対象だ。

この脆弱性はCWE-1392（デフォルト認証情報の使用）に分類されており、CVSS3.1のスコアは8.0（HIGH）と評価されている。攻撃元区分は隣接ネットワークからのアクセス、攻撃条件の複雑さは低く、特権レベルは一部必要とされ、ユーザーの関与は不要と評価されているのだ。

BD Diagnosticソリューション製品の脆弱性影響範囲まとめ

BDサイバーセキュリティ脆弱性情報の詳細はこちら

デフォルト認証情報について

デフォルト認証情報とは、製品やシステムに初期設定として組み込まれているユーザー名とパスワードの組み合わせのことを指す。主な特徴として、以下のような点が挙げられる。

• 製品出荷時に事前設定された認証情報
• 公開情報として広く知られている可能性が高い
• 変更せずに使用し続けることでセキュリティリスクが増大

BD Diagnosticソリューション製品の脆弱性は、デフォルト認証情報が使用されていることに起因している。デフォルト認証情報を変更せずに使用し続けることで、攻撃者による不正アクセスのリスクが高まり、保護された医療情報や個人識別情報が漏洩する可能性があるため、早急な対応が必要とされている。

BD Diagnosticソリューション製品の脆弱性に関する考察

医療機器における認証情報の脆弱性は、患者の個人情報や医療データの漏洩につながる重大な問題となる可能性が高い。特にBD Diagnosticソリューション製品は医療現場で広く使用されており、デフォルト認証情報の使用による脆弱性は、医療機関全体のセキュリティリスクを高めることにつながるだろう。

今後は医療機器メーカーにおいて、出荷時のデフォルト認証情報の強制変更機能の実装や、定期的なパスワード変更を促す仕組みの導入が求められる。同時に医療機関側でも、導入時の初期設定見直しや、セキュリティポリシーの策定、従業員への教育を徹底することで、リスクの最小化を図る必要があるだろう。

医療のデジタル化が進む中、医療機器のセキュリティ対策はますます重要性を増している。製品の設計段階からセキュリティを考慮したセキュリティ・バイ・デザインの考え方を取り入れ、継続的な脆弱性対策と監視体制の強化が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-10476 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10476, (参照 24-12-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧