米バイオテクノロジー企業イルミナのDNAシーケンサー「iSeq 100」のBIOS/UEFIに脆弱性があり、攻撃者が病気の検出やワクチン開発に使われる機器を無効にできる可能性がある。
イルミナのiSeq 100は、医療や研究ラボが “迅速でコスト効率の良い遺伝子解析 “を行うために使用できるDNAシーケンスシステムとして宣伝されている。
ファームウェア・セキュリティ会社のEclypsium社は、イルミナのデバイスのBIOSファームウェアを分析し、標準的な書き込み保護なしで起動し、システムを “ブリック “する可能性のある上書きや、長期間持続するインプラントを配置する可能性があることを発見した。
古くて脆弱なBIOS
研究者は、iSeq 100が古いデバイスをサポートするために互換性サポートモード(CSM)で動作する古いバージョンのBIOSファームウェアを実行しており、セキュアブート技術によって保護されていないことを発見しました。
Eclypsiumの分析では、深刻度が高および中程度の9つの脆弱性を悪用することを可能にする5つの主要な問題が特定され、そのうちの1つは2017年と古いものでした。
BIOS 書き込み保護の欠落に加え、iSeq 100 デバイスはLogoFAIL、Spectre 2、Microarchitectural Data Sampling(MDS) 攻撃にも脆弱でした。
CSMモードでのブートはレガシーデバイスのサポートを可能にするが、特に新しい世代のものであれば、機密性の高いデバイスには推奨されない。
研究者は、iSeq 100の脆弱なBIOS(B480AM12 – 2018年04月12日)にはファームウェア保護が有効になっておらず、デバイスをブートするためのコードを変更できることを発見した。
ブートコードの有効性と完全性をチェックするセキュアブートの欠如と相まって、悪意のある変更は検出されないままであった。
Eclypsium社は本日発表した報告書の中で、「解析はiSeq 100シーケンサー・デバイスに限定して行われた」とし、同様の問題は他の医療機器や産業機器にも存在する可能性があると強調している。
研究者らは、医療機器メーカーはシステムの計算能力に外部のサプライヤーを利用していると説明している。iSeq 100の場合、この装置はIEI Integration Corp.のOEMマザーボードに依存している。
IEI Integration Corpは複数の産業用コンピュータ製品を開発しており、医療機器のODM(Original Design Manufacturer)でもあるため、Eclypsium社は、”IEIマザーボードを使用している他の医療機器や産業機器でも、これらまたは類似の問題が見つかる可能性が高い “と述べている。
研究者はまた、すでにデバイスを侵害した攻撃者は、脆弱性を利用してファームウェアを変更し、システムをブリックさせることができると説明している。必要な知識を持つ脅威者は、テスト結果を改ざんすることもできる。
“これらのデバイスのインプラント/バックドアによってデータが操作された場合、脅威行為者は、遺伝性疾患の有無を偽ったり、医療治療や新しいワクチンを操作したり、祖先のDNA研究を偽るなど、幅広い結果を操作することができる”– Eclypsium社
Eclypsium社はiSeq 100デバイスのBIOS問題についてイルミナに通知し、バイオテクノロジー企業は影響を受ける顧客にパッチを発行したことを伝えた。
Eclypsium社は、修正パッチの提供方法および修正パッチを受け取るべきiSeq 100システムの数の見積もりについて、イルミナ社にコメントを求めた。
同社の広報担当者は、イルミナは「標準的なプロセスに従っており、緩和措置が必要な場合は影響を受ける顧客に通知する」と述べた。
“我々の初期評価では、これらの問題は高リスクではない “とイルミナの担当者は述べた。
「イルミナは自社製品のセキュリティとゲノムデータのプライバシーにコミットしており、自社製品の開発と展開におけるセキュリティのベストプラクティスを含む、監督と説明責任のプロセスを確立しています。
「このコミットメントの一環として、私たちは常に、現場の機器にセキュリティアップデートを提供する方法の改善に取り組んでいます。
彼らのレポートの中で、Eclypsium社の研究者は、iSeq 100のファームウェアを上書きすることができる脅威者は、”簡単に装置を無効にすることができる “と警告している。
価値の高いシステムを破壊することでビジネスを混乱させることは、ランサムウェアの攻撃者がまさに狙っていることであり、その目的は、被害者の回復努力を可能な限り困難にすることで身代金を支払わせることだからだ。
Eclypsium社によれば、金銭的な動機に基づく攻撃者とは別に、国家権力者もDNAシーケンスシステムに魅力を感じる可能性があるという。”遺伝子疾患や癌の検出、薬剤耐性菌の特定、ワクチンの製造に不可欠だからだ”。
2023年、サイバーセキュリティ基盤安全保障局(CISA)と米国の食品医薬品局(FDA)は、世界中の医療施設や研究所で使用されている複数の製品に存在するイルミナのユニバーサルコピーサービス(UCS)の2つの脆弱性について緊急勧告を発表した。
問題の1つ(CVE-2023-1968)は最大深刻度スコアを獲得し、もう1つ(CVE-2023-1966)は高い深刻度評価を受けた。イルミナは当時、セキュリティ問題を軽減するためのアップデートと指示を提供することで対応しました。
Comments