米国の医療業界で広く使われている中国製の医療機器が、サイバーセキュリティーにかかわるリスクとして問題視されている。CNBCによると、特に懸念されるのは、患者の心電図や心拍数、血中酸素濃度、血圧、体温を測るコンテック（Contec）CMS8000という装置だ。

▽計測値の虚偽表示によって患者を危険にさらす

米国の食品＆医薬品局（Food and Drug Administration＝FDA）とサイバーセキュリティー＆インフラストラクチャー・セキュリティー庁（Cybersecurity and Infrastructure Security Agency＝CISA）は先日、コンテックCMS8000に侵入できる「裏口（backdoor）」があることについて警告した。

CISAの研究班は、その脆弱性によって、コンテックのメーカーであるコンテック・メディカル・システムス（Contec Medical Systems）や利用者である医療機関のIP住所（Internet Protocol Address）とは無関係の第三者大学に関連づけられた「未検証の遠隔ファイルをダウンロードして実行する」ように仕向けることができる、と指摘した。

装置の設定がそれによって強制的に書き替えられれば、たとえば患者の腎臓不全や呼吸障害いった状況について同装置が虚偽内容を表示し、医師や看護師らがそれを受けて不要な措置を施してしまい、患者の健康や命を危険にさらすおそれがある。

▽「これから爆発的に深刻化」と専門家らが警告

そういった脆弱性は、医療機器セキュリティーが甘すぎる、と過去何年にもわたって警鐘を鳴らしてきた業界関係者や専門家にとっては、むかしから周知の問題だ。「（医療機器のセキュリティーは）大きな穴であり、これから爆発的に深刻化するだろう」と、ウェストクリフ大学の経営学教授で情報技術を専門とするクリストファー・カウフマン氏は話している。

米国内の5000ヵ所以上の病院や診療所が加盟している米国病院協会（American Hospital Association＝AHA）もその見方に同意している。「この問題は、患者におよぶ可能性のある悪害のリストの最上位と考えるべきだ」「ハッカーらがつけ込む前に修正しなければならない」とAHAのサイバーセキュリティー担当者ジョン・リッジ氏は強調した。

現在、そのリスクを緩和するための修正パッチは存在しないが、コンテックと連携して対応策を模索している、とCISAは説明している。ただ、コンテックが犯人である可能性を排除できないため、同社と共同で対応することに懸念はある。

▽遠隔機能と接続化機能の遮断を助言

コンテックのモニターが米国内で何台使われているかが不明であることも問題の一つだ。「病院で使われている医療機器の数が単純に膨大すぎて、把握することはできない」とリッジ氏は話している。

FDAでは、当面のあいだ、コンテックの装置を導入現場でのみ使い、遠隔モニター機能を無効にするよう助言している。これまでのところ、その脆弱性に関係した問題は報告されていない、とFDAでは説明している。

AHAでは、コンテックのモニターのインターネット接続を解除し、病院内の通信網から遮断するよう会員らに助言している。

▽中国は米社会基盤にマルウェアを埋め込む常習犯

リッジ氏によると、米国外で生産された医療機器のリスクは広範にまたがる。コンテックのモニターはその典型例の一つだ。米国の病院は概して予算に限界があることから、中国製の安価な医療機器を購入することが多い。

中国には、米国の重要社会基盤の内部に破壊的マルウェアを埋め込んできた無数の前科がある。医療機器を介して収集された患者データは中国に転送されており、それらのデータが中国でどのように使われているかといった詳細は明らかにされたことがない。

ただ、個別の患者がリスクにさらされているというよりは、収集および集計済みの情報が本来の目的以外のことに使わる結果として、より大きな医療システムがリスクにさらされることの方がが同問題の本質と言える。

とはいえ理論的には、米国の要人を標的とした医療機器が悪用される可能性も否定できない、とリッジ氏は指摘する。

▽ドージによる職員大量解雇が対応を弱体化か

コンテックの医療機器に関する警告は、ティックトック（TikTok）やディープシーク（DeepSeek）、TPリンク（TP-Link）のルーターをめぐる懸念と共通する。いずれも中国製の技術や機器類、サービスが米国人に関するデータを盗み取っている。

しかも、その問題を悪化させ得る要因として、ウェストクリフ大学のカウフマン教授は、ドナルド・トランプ大統領が新設した政府効率化省（Department of Government Efficiency＝DOGE）の活動を挙げている。イーロン・マスク氏が率いるドージ（DOGE）は、FDAの職員の大量解雇をはじめ、医療機器の安全性を確認する立場にある省庁機関を骨抜きにしている可能性もある。

政府説明責任院（Government Accountability Office＝GAO）の2022年１月の報告書によると、米国の病院で使われている接続機能つき医療機器やそのほかのモノのインターネット（Internet of Things＝IoT）機器の53％が、既知の重大な脆弱性を抱えており、その問題はその後も悪化し続けている、とカウフマン氏は指摘した。

（Gaean International Strategies, llc社提供）