DICOM医療画像ソフトウェアで使用されるツールキットに5件の脆弱性、セキュリティ研究者が特定

医療画像ソフトウェアで広く使われているDICOMツールキット「OFFIS DCMTK」に、5件の脆弱性が発見されました。DICOM(Digital Imaging and Communications in Medicine)は、医療画像データの保存・伝送・印刷・表示に用いられる世界共通の技術規格で、事実上すべての医療画像機器で採用されています。このツールキットは多数の医療画像ソフトウェアソリューションに組み込まれているため、今回の脆弱性は影響範囲が大きいといえます。

これらの脆弱性が悪用されると、患者情報が漏えいするほか、DICOMのストレージサービスやワークリストサービスが阻害されたり、サービスメモリが枯渇したり、画像サービスがクラッシュしたり、DCMTKベースのクライアントが意図した出力ディレクトリ外にファイルを書き込んでしまう恐れがあります。脆弱性を発見したのは独立系セキュリティ研究者のAbhinav Agarwal氏で、同氏は2026年5月に米サイバーセキュリティ・インフラセキュリティ庁(CISA)とベンダーに報告しました。Agarwal氏はClaudeとChatGPTの標準サブスクリプションを利用して脆弱性を特定し、その後手作業で調査結果を精査・確認したとしています。

脆弱性のうち1件はCVSS v3.1基本値9.8(重大)の深刻度「Critical」に分類され、残る4件は深刻度「High」で、CVSS基本値は7.5から8.2(v4.0では8.7から8.8)となっています。CISAは2026年6月30日、これらの脆弱性に関するセキュリティ勧告を公表しました。

これらの脆弱性はOFFIS DCMTKのv3.7.0より前のバージョンに影響し、以下のCVEで管理されています。

CVE 深刻度 CVSS v3.1 CVSS v4.0 脆弱性
CVE-2026-50003 Critical 9.8 9.3 制限付きディレクトリへのパス名の不適切な制限(パストラバーサル)
CVE-2026-52868 High 8.2 8.8 制限付きディレクトリへのパス名の不適切な制限(パストラバーサル)
CVE-2026-50254 High 7.5 8.7 有効期間終了後のメモリ解放漏れ
CVE-2026-35505 High 7.5 8.7 有効期間終了後のメモリ解放漏れ
CVE-2026-44628 High 7.5 8.7 互換性のない型を用いたリソースへのアクセス(型混同)

CISAによると、ツールキットの開発元にはこれらの脆弱性について通知済みで、修正版もすでにリリースされているとのことです。しかし、Agarwal氏はThe HIPAA Journalに連絡を取り、ベンダーが適用した修正はマスターブランチの上流に対するものにとどまっており、そのままではダウンストリームのライブラリや運用者がその修正を反映したリリースを利用してアップグレードすることができない、と警告しています。ユーザーは修正済みのリリース版、あるいはベンダーが提供するアップデート手順を待つ必要があります。

DICOMツールキットの脆弱性に関する問題の一つは、多くのエンドユーザーが既知で公表済みの脆弱性を抱えたDICOMソフトウェアを使用していながら、ソフトウェア部品表(SBoM)が提供され、すべての構成要素について定期的に脆弱性を確認する体制がない限り、自分たちのソフトウェアが脆弱であることに気づかない可能性がある点です。Agarwal氏は、医療機関に対し、自社の画像診断ベンダーにDCMTKが使用されているか、使用されている場合はどのバージョンか、CISAの勧告が該当するか、そしてパッチ適用済みのビルドがいつ提供されるかを確認するよう勧めています。

翻訳元: https://www.hipaajournal.com/offis-dcmtk-vulnerabilities-june-2026/

ソース: hipaajournal.com