公開日:2020/06/19 最終更新日:2020/06/19
JVNVU#97042917
BIOTRONIK 製 CardioMessenger II に複数の脆弱性
BIOTRONIK 社が提供する CardioMessenger II には、複数の脆弱性が存在します。
- CardioMessenger II-S T-Line T4APP 2.20
- CardioMessenger II-S GSM T4APP 2.20
BIOTRONIK 社が提供する CardioMessenger II は、医療データを医師に送信するための家庭用モニタリングデバイスです。CardioMessenger II には次の複数の脆弱性が存在します。
- 不適切な認証 (CWE-287) - CVE-2019-18246
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 - 重要な情報の平文での送信 (CWE-319) - CVE-2019-18248
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 - 不適切な認証 (CWE-287) - CVE-2019-18252
CVSS v3 CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 - 重要なデータの暗号化の欠如 (CWE-311) - CVE-2019-18254
CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 4.6 - 復元可能な形式でのパスワード保存 (CWE-257) - CVE-2019-18256
CVSS v3 CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 4.6
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- BIOTRONIK 製のリモート通信システムとの相互認証が適切に実施されない - CVE-2019-18246
- 暗号化された通信チャネルに切り替える前に認証情報を平文で送信するため、CardioMessenger にアクセスできる攻撃者が、BIOTRONIK 製のリモート通信システムに接続する製品のクライアント認証情報を窃取する - CVE-2019-18248
- 認証情報を複数回の認証に再利用するため、CardioMessenger にアクセスできる攻撃者が、BIOTRONIK 製のリモート通信システムへの接続に使用される認証情報を窃取する - CVE-2019-18252
- 利用者が安静時、機微な情報を暗号化しないため、CardioMessenger に物理的にアクセスできる攻撃者が、CardioMessenger がペアリングされている植込み型心臓デバイスの医療測定データとシリアル番号を窃取する - CVE-2019-18254
- デバイスごとの認証情報を復元可能なフォーマットで保存しているため、CardioMessenger に物理的にアクセスできる攻撃者によって、転送中のローカルデータを復号化される - CVE-2019-18256
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- CardioMessenger II 機器本体を適切に管理する
- 信頼できる医療提供者 または BIOTRONIK 社から直接入手した CardioMessenger II のみを使用する
- CardioMessenger II の動作に懸念点がある場合は、医療提供者 または BIOTRONIK 社へ報告する
| ベンダ | リンク |
| BIOTRONIK | CardioMessenger II |
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2019-18246 |
|
CVE-2019-18248 |
|
|
CVE-2019-18252 |
|
|
CVE-2019-18254 |
|
| JVN iPedia |
|
