インターネットに接続できる医療用機器／システムのうち、サイバーセキュリティリスクにさらされているものが120万個以上に上ることがわかった。欧州のサイバーセキュリティ企業Modatが調査を実施した。国別の数字では、アイルランドで8万1,000個超、イギリスで7万7,000個超が報告されており、欧州、米国、中東・北アフリカ（MENA）地域で最多となっている。

調査方法としては、インターネット上のインフラを調べることができる脆弱性スキャンプラットフォーム「Modat Magnify」を使用し、70種類以上の医療用機器／システムを検査した。その結果、機器／システムの設定や管理側の設定をミスしている、初期パスワードや脆弱なパスワードを使用している、ファームウェアやソフトウェアの脆弱性が未修正のままにしているなどが原因で、侵害に悪用されうる経路ができてしまっていることが明らかになった。例えば、多くのシステムが基本的な認証を行っておらず、一部のシステムでは工場出荷時の初期パスワードがそのまま使用されていた。

ある事例では、スキャンの結果、胸部や脳のMRIの検査結果や血液検査の結果など、患者の機密情報を含む詳細な記録情報が露呈した。こうした結果から、患者の機密保護に失敗したり、サイバー犯罪者によって脆弱性が悪用されたりする懸念が浮上している。

調査結果を受けて、Modatはただちに責任ある情報開示のプロセスを開始した。米Health-ISAC、オランダのZ-CERT（医療分野のCERT）などの国際パートナーに連絡を取り、該当の医療機関等に対して脆弱性を修正する支援を行うように伝えたという。

CEOのSoufian El Yadmani（スフィアン・エル・ヤドマーニー）氏は、医療用機器のネットワークセキュリティは重要だと強調している。「私たちが問うべきは、インターネットに接続ができ、適切なセキュリティ対策が講じられていないMRIスキャナーがどうして存在するのかということです」と氏。また、不必要にネットワークに接続すれば大きなリスクがあるとも指摘している。医療用システムは医療の面からリモートアクセスが必要な場合にのみ安全なネットワークに接続するのがよいとした。

該当の医療機関等に対する推奨事項としては、定期的なセキュリティ評価やIT資産の台帳管理、コネクテッドデバイスの継続監視を行い、設定ミスや新たな脆弱性に起因するリスクを特定することなどを挙げている。

Modat Study: Over 1.2 Million Healthcare Devices Exposed Online