DICOM(Digital Imaging and Communications in Medicine)は、X線、CTスキャン、MRI、超音波などの医用画像()情報を伝送、保存、検索、印刷、表示するための国際標準規格。DICOMファイルは、ファイルフォーマット定義とネットワーク通信プロトコルから構成される。
DICOMファイルにマルウェアが含まれている可能性はありますか?
DICOMファイルヘッダは、128バイトのファイルプリアンブルと4バイトのDICOMプレフィックスで構成される。このプリアンブルは、医用画像ファイルを DICOM と非 DICOM ソフトウェアの両方で処理できるようにするための互換性機能の一部です。
- DICOMビューアは、ファイルのプリアンブルを無視し、DICM文字列を観察し、DICOMコンテンツを処理し、DICOM画像を表示する。
- TIFFビューアは、ファイルプリアンブルのオフセット情報を使用して、ファイル内の画像ピクセルデータにアクセスし、表示することができます。
残念なことに、このプリアンブルの設計は、悪意のあるコードを拡散する新たな方法を脅威者に与える可能性がある。他のファイルタイプ、例えば.exeのヘッダーを使用することで、攻撃者はマルウェアを通常のDICOMファイルに隠すことができる。病院向けのサイバーセキュリティ・ソリューションを提供するCylera社は、CVE識別子CVE-2019-11687が割り当てられているこの脆弱性の技術的詳細と概念実証(PoC)コードを公表した。
サンプルを見て、Deep CDR (コンテンツ解除と再構築)がどのように問題を解決できるかを見てみよう:
この場合、Deep CDR 、未承認のコンテンツを削除し、正規のデータのみでDICOMファイルを再構築した。そのため、ファイル拡張子を.exeにリネームしても、サニタイズされたファイルでは機能しませんでした。その結果、悪意のあるコードは実行できなくなりました。また、ファイル構造の完全性は完全に確保されているため、ユーザは使い勝手を損なうことなく安全にファイルを使用することができます。
Deep CDRは、組織に入るすべてのファイルが有害でないことを保証し、ゼロデイ攻撃や回避型マルウェアの防止を支援します。当社のソリューションは、PDF、Microsoft Officeファイル、HTML、多くの画像ファイルなど、100種類以上の一般的なファイルタイプのサニタイズをサポートしています。
OPSWAT 先進技術の詳細を理解し、組織を包括的に保護する方法を学ぶには、今すぐお問い合わせください。
参考までに:
- 「DICOMライブラリ - DICOMフォーマットについて".2020.Dicomlibrary.Com.https://www.dicomlibrary.com/dicom/.
- 「D00rt/Pedicom".2020.Github.https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
