ペースメーカーの情報を病院などに送信できる機器へのハッキング攻撃に対して脆弱である、という主張を裏書きする調査結果を米国政府は公表し、心臓病患者が自宅に所持している装置に対して緊急セキュリティパッチが発行される結果となった。

詳細な調査を受けている医療機器は、2017年1月にアボット・ラボラトリーズ（Abbott Laboratories）社に買収されたセント・ジュード・メディカル（St Jude Medical）社のものである。2016年にセント・ジュード・メディカル社は、軽度の電気ショックや危険な速度での鼓動調律、あるいは危険性の高いバッテリー消耗に陥りかねないとの報告を、専門家たちから受けていた。

議論の余地があることだが、調査会社のメドセック・ホールディングス（MedSec Holdings）とヘッジファンドのマディ・ウォーターズ（Muddy Waters）社は、セント・ジュード・メディカル社の深刻な脆弱性について報告を受ける以前に、その株式を売って利益を上げたと伝えられている。

セント・ジュード・メディカル社の「メルリン・アットホーム」（Merlin@home）というデータ転送器は、患者の心臓の働きについての極めて重要な情報を伝えるために、電話回線やインターネット、3Gの移動体通信のネットワークを使用して、患者へ埋め込まれた心臓ペースメーカー内の小型コンピューターと、医師の診察室または診療所に接続する。

患者にとって良いニュースなのは、診療所を何度も訪れる必要はなく、それほど頻繁に医師に診てもらわなくてもよいということだ。遠隔からの患者モニタリングによって、医師が心臓の動きを把握できるようになり、ペースメーカーが異常な動作をしていないか見られるようになる。

この観点から、技術的進歩は良いものと見ることができる。しかし、ESETで以前に指摘したように、患者の生活を改善し保護するための技術を急いで採り入れるとハイテクリスクを引き起こしてしまうという純粋な懸念もある。

おそらく最も記憶に残ることに、セキュリティ研究者のバーナビー・ジャック（Barnaby Jack）氏は2012年に、どうやってデバイスをリバースエンジニアリング（動作解析によるソースコード調査）し、10メートルほど（30フィート）離れた距離からペースメーカーを使って830ボルトの激しい電気ショックを与えさせるか実証した。また、ジャック氏は、インシュリンのポンプを無線でスキャンして、より多くのインシュリンを投与させる方法を発見した。実行すれば、患者に低血糖ショックを与えてしまうものだ。

セント・ジュード・メディカル社は、セキュリティアップデートを発表したプレスリリースで、「社のデバイスに関連したサイバーセキュリティ事件は認識していない」と強調した。

「米国食品医薬品局（FDA）や米国国土安全保障省の産業制御システムサイバー緊急対応チーム（ICS-CERT）などの機関と提携し、デバイスやシステムを継続的に再評価し、適切に更新している」とセント・ジュード・メディカル社の副社長兼最高技術責任者（CTO）であるフィル・エーベリング（Phil Ebeling）氏は述べている。

一方、マディ・ウォーターズ社のカーソン・ブロック（Carson Block）最高経営責任者（CEO）は、セント・ジュード・メディカル社のメルリン・アットホームの脆弱性について、一般に公開することで社に修正を促す措置をとらせられると信じている一方で、まだ十分な対策を実施できていないと感じている。

「一般に公開されてはいませんでしたが、セント・ジュード・メディカル社は、脆弱性を修正していなかったのでしょう。にもかかわらず、公表された修正は、ハッカーによるペースメーカーの制御を許してしまうユニバーサルコードの存在を含めて、より大きな問題の多くに対処しているようには見えませんでした」

研究者たちは、セント・ジュード・メディカル社の機器が非常に弱い認証を使用しているため、病院外のスタッフに、家電機器をハッキングして、脆弱なペースメーカーに、感電ショックや悪意のあるファームウェアのアップデートを送信する機会を広げてしまっていると主張している。

移植されたデバイスそのものをより安全にする方法について、さらに調査が行われている。その間、患者にはメルリン・アットホームのユニットが接続されていることを確認し、電話回線または携帯電話アダプタを接続し、自動アップデートに備えておかなければならないのである。