糖尿病デバイス革命

3. 糖尿病デバイスとサイバーセキュリティー

村田 敬 先生独立行政法人 国立病院機構 京都医療センター糖尿病センター
筆者について

 2016年10月、Johnson & Johnson社の子会社であるAnimas社が、同社製のインスリンポンプのリモートコントロール機能に脆弱性があるため、特殊な装置を使うと装着者以外の第三者がボーラス注入を実行可能であることを公表し、使用者に注意喚起した、という衝撃的なニュースが報じられた。(文献1,2)。

 このサイバーセキュリティー上の問題を発見したのは、サイバーセキュリティー専門企業であるRapid7社のJerome Radcliff氏(通称 Jay Radcliff)(文献3-6)。Radcliff氏は自身が22歳時発症の1型糖尿病患者で、2011年にMedtronic社製のParadigmインスリンポンプのリモートコントロール機能に脆弱性があることを発見し、報告した実績がある(文献7-12)(注:日本国内ではParadigmインスリンポンプ用のリモコンが発売されていなかったため、実質的な影響はなかった)。

 Medtronic社製のParadigmインスリンポンプのリモートコントロール機能に脆弱性があることは、サイバーセキュリティー専門企業のMcAfee に在籍していたBarnaby Jack(故人)という研究者も報告している(文献13,14)。

 Rapid7社のホームページでは、実際にAnimas社製のインスリンポンプを外部のPCから無線発信装置を通じてコントロールする一部始終の動画をJay Radcliff氏自身による解説とともに見ることができる(文献15)。技術的な詳細についてはRapid7社のホームページを参照していただきたいが、このような問題が発生する原因として、

  • (1)リモコンとポンプ本体の通信が暗号化されていないこと(CVE-2016-5084)
  • (2)リモコンとポンプのペアリングが脆弱であること(CVE-2016-5085)
  • (3)リプレイアタック防止または通信確認の欠如(CVE-2016-5086)

が指摘されている。まるでSFのような話だが、この手法を用いれば悪意を持った人物がインスリンポンプを装着した糖尿病患者に危害を加えることが理論的に可能ということになる。

 この問題に対するAnimas社の対応は、インスリンポンプのリモートコントロール機能をオフにする、という方法であった(文献16)。なお、この問題との因果関係は明らかにされていないが、2017年10月にAnimas社の親会社であるJohnson & Johnson社はインスリンポンプ事業から撤退し、同社製のインスリンポンプを使用中の患者についてはMedtronicに紹介する方針を決定した(文献17,18)。

 日本国内ではAnimas社製のインスリンポンプは販売されていなかったため、この一件はあまり大きく報じられなかった。しかし最近になって日本メドトロニック社とパナソニック ヘルスケア社(現・PHC株式会社)よりMiniMed 600シリーズ用のリモートコントローラーを兼ねた血糖測定器であるコントアネクストLink2.4が発売され、またテルモ社からもリモートコントローラーの使用が必須のパッチポンプ メディセーフウィズが発表され、リモートコントロール機能を有するインスリンポンプのサイバーセキュリティーの問題は対岸の火事と言えない状況になってきた(文献19-21)。もちろん、いずれの製品にも最新のサイバーセキュリティー技術が活用され、万全の対策が取られていると信じたいが、日進月歩のIT技術の世界に100%確実な安全策はないと考えた方が良い。

 さらに最近、糖尿病デバイスとスマートフォンの連動が進んでいることにも注目する必要がある。Medtronic社からはスマートフォンに接続して計測結果を表示するタイプのリアルタイムCGMであるGuardian Connectが発表されており、また、Abbott社からはスマートフォンでFreeStlye Libreのデータを直接読み取るアプリFreeStyle LibreLinkが発表されており(注:日本で発売されているFreeStyleリブレセンサーと組み合わせて使用することはできない)、仮にマルウェアが同じスマートフォンにインストールされてしまった場合、データ漏洩からデバイスの誤作動に至るまで、どのような問題が発生しうるのか、まったくもって未知である(文献22,23)。

 日本国内でもCGMの計測結果に基づいて低血糖が予測されるときにインスリン注入を自動停止するPLGM機能を有するMiniMed 640Gが発売され、また米国ではCGMの計測結果に基づいてインスリン注入量を自動制御するHybrid Closed-loop機能を有するMiniMed 670Gなどのインスリンポンプが発売されているが、このような無線通信が必須のデバイスは、トランスミッタとポンプ本体の通信が阻害されるだけで本来の機能を発揮できなくなる(文献24,25)。さらに海外ではアンドロイドやiOSのスマートフォンをコントローラーとして使用した携帯型人工膵臓(artificial pancreas: AP)の研究開発が行われていることもあって、糖尿病デバイス領域におけるサイバーセキュリティーの問題はますます重要視されるようになってきており、すでに様々な議論が提起されている(表1-4)(文献26-36)。

表1 プライバシーと信頼の原則(The Privacy and Trust Principles)(文献26)
  1. 包括的で、恊働的で、適用可能な統治Governance that is inclusive, collaborative, and adaptable)
  2. 参加者と社会に対する透明性 (Transparency to participants and the public)
  3. 参加者の選択の尊重 (Respecting participant preferences
  4. 情報へのアクセスによる参加者のエンパワーメント (Empowering participants through access to information)
  5. 適切なデータ共有、アクセス、使用の保証 (Ensuring appropriate data sharing, access, and use)
  6. データの品質と完全性の維持 (Maintaining data quality and integrity)
表2 プレシジョン・メディスン・イニシアティブ・データセキュリティーポリシーの原則と枠組みにおいて指定されたプレシジョン・メディスン・イニシアティブ関連団体のための8つのデータ保安方針原則(文献27)
  1. 参加者が信頼できるシステム構築のために不断の努力を行う。このことは、データセキュリティー上のリスクを特定し、方針決定する際に、「参加者第一」の方向性を持つことを意味する。参加者はすべての研究活動における本質的な利害関係者である。
  2. セキュリティー、医学、テクノロジーが急速に発展しつつあることを認識する。その結果として、関連団体はセキュリティーを各団体の文化とサービスの中核要素として扱うべきであり、セキュリティープロセスとコントロールが柔軟で最新の状態に保たれることを保証すべきである。
  3. データの真実性を保持することを追求し、参加者・研究者・臨床医・その他の医療従事者がデータを信頼して活用できるようにする。
  4. 主要なリスクを特定し、これらのリスクへの対処方法を評価して管理する計画を開発し、かつ、科学と研究が発展することを可能にする。
  5. 参加者およびその他の関係者に明朗な期待と透明性のあるセキュリティー手順を提示する。
  6. データ保護のためのセキュリティーの実践と監査を行うが、参加者が自身に関するデータを知ることは拒否せず、かつ、適切な研究目的でのデータの利用を制限する口実にしない。
  7. 責任感を持って行動すること。参加者のデータが漏洩する危険性が最小となる方法を模索し、万一、データの漏洩が発生した際は参加者と研究者に継続的な連絡を行い、つねに信頼を保てるようにする。
  8. 団体間で経験と困難を共有し、関連団体が互いに学べるようにする。
表3 NIST フレームワークに準拠した重要インフラストラクチャーのサイバーセキュリティーを改善するための5つの推奨される行動 (Five Recommended Activities According to the NIST Framework for Improving Critical Infrastructure Cybersecurity. Version 1.0) (文献27)
  • 1)特定する (Identify)
  • 2)保護する (Protect)
  • 3)検出する (Detect)
  • 4)対応する (Respond)
  • 5)回復する (Recover)
表4 情報セキュリティーにおける三原則(CIA) (文献28)
  1. 機密性 (Confidentiality)
  2. 完全性 (Integrity)
  3. 利用可能性 (Availability)

 ともあれ、医療機器におけるサイバーセキュリティーの問題は、まだまだ議論が始まったばかりの状況である。今さらバイアルから注射器でインスリン注射する時代には戻れないが、かといって医療機器がネットワーク化される新しい時代の備えが十分にできているわけでもない。日本国内でも官公庁から複数のガイドラインが発出されているが、今後、国内の学会等の場でも医療機器のサイバーセキュリティーの問題に関する真剣な議論が期待される(文献37-39)。

  • ※本稿は、医療従事者の生涯教育に資するために執筆されたものであるため、日本国内では未承認の医療機器、未承認の医薬品、または未承認の使用方法に関する情報が含まれている場合があります。このため、医療機器および医薬品の実際の使用にあたっては、添付文書を熟読の上、日本国内で承認された条件に従って使用してください。
  • ※本稿には、コラムニストの個人的見解が含まれています。
  • ※紹介した参考文献の原文を読むためには、リンク先のホームページへの登録・料金が必要となる場合があります。

参考文献

1)
Jim Finkle. Reuters. TECHNOLOGY NEWS. J&J warns diabetic patients: Insulin pump vulnerable to hacking. OCTOBER 4, 2016. Reuters
2)
Reuters. TECHNOLOGY NEWS. Johnson & Johnson letter on cyber bug in insulin pump. OCTOBER 4, 2016. Reuters
3)
Black Hat USA 2013. Speakers. JAY RADCLIFFE. Black Hat USA
4)
Cybersecurity Excellence Awards. Jay Radcliffe. Cybersecurity Professional of the Year. Cybersecurity Excellence Awards Finalist 2017. Cybersecurity Excellence Awards
5)
Kerri Sparling. Six until me. Hacked: Jay Radcliffe, Insulin Pumps, and Diabetes Sensationalism. August 5, 2011. six until me
6)
Reuters. TECHNOLOGY NEWS. Rapid7 hires Jay Radcliffe, diabetic who hacked his insulin pump. MAY 30, 2014. Reuters
7)
Jerome Radcliffe. Hacking Medical Devices for Fun and Insulin: Breaking the Human SCADA System. Black Hat USA
8)
Dan Kaplan. SC Media. Black Hat: Insulin pumps can be hacked. August 04, 2011 SC Media
9)
Dan Goodin. The Register. Security. Insulin pump maker ignores diabetic's hack warnings. Medtronic device susceptible to wireless tampering. 25 Aug 2011 The Register
10)
Shana Leonard. MDDI. Device Hacking Continues: Medtronic, Others 'Lacked Foresight'. February 29, 2012 MDDI Online
11)
Danielle Walker. SC Media. Black Hat: Diabetic researcher finds insulin pump glitch that almost killed him. August 01, 2013 SC Media
12)
Jim Finkle. Reuters. TECHNOLOGY NEWS. U.S. government probes medical devices for possible cyber flaws. OCTOBER 22, 2014. Reuters
13)
Dan Goodin. The Register. Security. Insulin pump hack delivers fatal dosage over the air. Sugar Blues, James Bond style. 27 Oct 2011. The Register
14)
Dan Kaplan, Danielle Walker. SC Media. Acclaimed researcher Barnaby Jack dies days before Black Hat talk. SC Media
15)
Tod Beardsley. Rapid7. R7-2016-07: Multiple Vulnerabilities in Animas OneTouch Ping Insulin Pump. Oct 04, 2016. Rapid7 Blog
16)
Animas. Important Information about the cybersecurity of your OneTouch(R) Ping(R) Insulin Infusion Pump. October 4, 2016 Animas
17)
Reuters. HEALTH NEWS. Johnson & Johnson unit exits insulin pump business amid rising competition. OCTOBER 5, 2017 Reuters
18)
Animas. Animas Corporation intends to exit the insulin pump business and discontinue the manufacturing and sale of Animas(R) Vibe(R) and OneTouch Ping(R) insulin pumps. Animas
19)
PHC株式会社. 自己検査用グルコースキット「コントアネクスト(R) センサー」を発売. PHC株式会社
20)
テルモ株式会社. テルモ、日本初のパッチ式インスリンポンプの製造販売承認を取得.チューブフリーの「メディセーフウィズ」で糖尿病患者さんの治療をサポート. 2017年11月13日 テルモ株式会社
21)
村田 敬. パッチ式インスリンポンプ. PRACTICE 2018;35(3):330-332. PRACTICE
22)
Medtronic. Guardian Connect Continuous Glucose Monitoring System. Medtronic
23)
Abbott. FreeStyle LibreLink. Abbott
24)
村田 敬. 糖尿病デバイス革命 2. 予測低血糖自動注入停止型インスリンポンプ「MiniMed 640G」. 糖尿病リソースガイド
25)
US Food & Drug Administration. FDA News Release. FDA approves first automated insulin delivery device for type 1 diabetes. US Food & Drug Administration(FDA)
26)
The WHITE HOUSE. President Barack Obama. Building Trust and Protecting Privacy: Progress on the President's Precision Medicine Initiative. NOVEMBER 9, 2015. the WHITE HOUSE
27)
Klonoff DC, Price WN 2nd. The Need for a Privacy Standard for Medical Devices That Transmit Protected Health Information Used in the Precision Medicine Initiative for Diabetes and Other Diseases. J Diabetes Sci Technol. 2017 Mar;11(2):220-223. doi: 10.1177/1932296816680006. Epub 2016 Dec 5. PubMed PMC
28)
Klonoff DC. Cybersecurity for Connected Diabetes Devices. J Diabetes Sci Technol. 2015 Apr 16;9(5):1143-7. doi: 10.1177/1932296815583334. PubMed PMC
29)
O'Keeffe DT, Maraka S, Basu A, Keith-Hynes P, Kudva YC. Cybersecurity in Artificial Pancreas Experiments. Diabetes Technol Ther. 2015 Sep;17(9):664-6. doi: 10.1089/dia.2014.0328. Epub 2015 Apr 29. PubMed PMC
30)
Armstrong DG, Kleidermacher DN, Klonoff DC, Slepian MJ. Cybersecurity Regulation of Wireless Devices for Performance and Assurance in the Age of "Medjacking". J Diabetes Sci Technol. 2015 Aug 27;10(2):435-8. doi: 10.1177/1932296815602100. PubMed PMC
31)
Yuan S, Fernando A, Klonoff DC. Standards for Medical Device Cybersecurity in 2018. J Diabetes Sci Technol. 2018 Mar 1:1932296818763634. doi: 10.1177/1932296818763634. [Epub ahead of print] PubMed J Diabetes Sci Technol.
32)
Klonoff DC, Kerr D, Kleidermacher D. Now Is the Time for a Security and Safety Standard for Consumer Smartphones Controlling Diabetes Devices. J Diabetes Sci Technol. 2017 Sep;11(5):870-873. doi: 10.1177/1932296817723259. Epub 2017 Jul 21. PubMed J Diabetes Sci Technol.
33)
Klonoff DC, Kerr D. Overcoming Barriers to Adoption of Digital Health Tools for Diabetes. J Diabetes Sci Technol. 2018 Jan;12(1):3-6. doi: 10.1177/1932296817732459. Epub 2017 Oct 3. PubMed J Diabetes Sci Technol.
34)
Klonoff DC, Kerr D, Wong JC, Pavlovic Y, Koliwad S, Hu J, Salber P, Aguilera A, Long W, Hamilton G, Chen KY, Adi S. Digital Diabetes Congress 2017. J Diabetes Sci Technol. 2017 Sep;11(5):1045-1052. doi: 10.1177/1932296817723037. Epub 2017 Aug 8. PubMed J Diabetes Sci Technol.
35)
Out DJ, Tettero O. Assessing the Security of Connected Diabetes Devices. J Diabetes Sci Technol. 2017 Mar;11(2):203-206. doi: 10.1177/1932296816678632. Epub 2016 Nov 15. PubMed PMC
36)
Britton KE, Britton-Colonnese JD. Privacy and Security Issues Surrounding the Protection of Data Generated by Continuous Glucose Monitors. J Diabetes Sci Technol. 2017 Mar;11(2):216-219. doi: 10.1177/1932296816681585. Epub 2017 Feb 13. PubMed PMC
37)
増田 克善. 日経デジタルヘルス. 3省4ガイドラインとは. 2017/05/24 日経デジタルヘルス
38)
厚生労働省. 医療情報システムの安全管理に関するガイドライン 第4.2版(平成25年10月). 厚生労働省
39)
経済産業省. 医療情報を受託管理する情報処理事業者向けガイドライン第2版. 経済産業省
2016年06月13日
SGLT2阻害薬で握力が向上 高齢者のサルコペニア対策に効果?
2016年06月10日
第76回米国糖尿病学会(ADA2016)開催間近 注目のセッションは?
2016年06月10日
足病診療の実態報告 診療科により診断・治療法・予後が異なる可能性
2016年06月09日
関節リウマチ患者の糖質コルチコイド服用で糖尿病リスクが1.48倍に [HealthDay News]
2016年06月02日
インスリン、IGF-1両受容体欠損に伴う脂肪組織の変化 [HealthDay News]
2016年06月01日
日本食で健康長寿を延ばせる 日本から世界へ「スローカロリー」を発信
2016年06月01日
糖尿病の人でも加入できる より少額の定期保険 糖尿病保険ミニ
2016年06月01日
営業成績と社会人2年目の苦悩 インスリンとの歩き方
2016年05月31日
SAP導入で生活が激変! 1型糖尿病患者さんの手記を公開
2016年05月30日
新制度「下肢救済加算」をわかりやすく解説 フットケア情報ファイル