別添

事

務

連

絡

令和 3 年 8 月 19 日
医薬・生活衛生局医療機器審査管理課長 殿
医薬・生活衛生局医薬安全対策課長 殿
医政局研究開発振興課医療情報技術推進室長 殿
大 臣 官 房 参 事

官

(ｻｲﾊﾞｰｾｷｭﾘﾃｨ・情報ｼｽﾃﾑ管理担当)

ブラックベリーQNX リアルタイムオペレーティングシステム(RTOS)
バージョン 6.5 SP1 以前の脆弱性に対する対応について(注意喚起)
米国国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁
(CISA)から、2021 年 8 月 18 日(水)未明(米国時間では 8 月 17 日(火))にブラックベリーQNX
リアルタイムオペレーティングシステム(以下「BBQNXRTOS」という。)のバージョン 6.5 SP1
以前の脆弱性に関する情報が公表されました。
当該 OS の使用範囲には、医療分野も含まれており、この脆弱性が悪用されると、システ
ムの可用性の支障、データ窃取、データ流出、機器の制御の乗っ取り等の被害が発生するお
それがあります。これらを踏まえ、内閣官房内閣サイバーセキュリティセンター(以下「NISC」
という。)より、別添のとおり注意喚起が発出されました。
つきましては、NISC からの注意喚起文書(別添)に基づき、より具体的な対策として、下記
の対策を実施いただくよう、医療機器の製造販売業者及び医療機関に必要な注意喚起をお願
いします。
記

１．医療機器の製造販売業者における対応
(１) パッチ等の入手
自社が製造販売する医療機器において当該脆弱性を悪用されないように、次のとおり
対応すること。
ア 脆弱性のあるバージョンを組み込んだ医療機器の製造販売業者は、速やかにブラッ
クベリー社に連絡してパッチを入手すること。
イ

BBQNXRTOS ソフトウェアの独自バージョンを組み込んだ医療機器の製造販売業者

は、ブラックベリー社のパッチをベースとした独自のパッチの開発が必要となる場合
があるため、その場合は速やかにブラックベリー社に連絡してパッチのソースコード
を入手し、独自のパッチの開発等適切に対応すること。
なお、独自のパッチは、適用に先立ちテストする必要があることに留意すること。