米国メリーランド州発:SANS インターネットストームセンター(ISC)研究員 Xavier Mertens、Richard Porter 両氏の投稿したブログ記事によると、世界中の 3,800 台近い3Dプリンターが、アクセス制限や認証要求といった保護がいっさいされないまま、セキュリティ上危険な状態で放置されていることが明らかになった。
これらの3Dプリンターに共通するのは、オープンソースの3Dプリントコントロール用インターフェイス「 OctoPrint 」を搭載していたこと。OctoPrint には .gcode といった3Dモデル情報の転送や、Webカム経由で3Dプリント工程の確認が可能なリモート監視など多彩な機能を持つ。
SANS ISC の Porter、Mertens 両氏は、ユーザーが無造作にオンライン接続した3Dプリンターは悪意ある攻撃者に3Dファイルを覗き見られている危険があり、3Dプリンターの設定を勝手に変更されたり3Dモデルが盗まれる恐れがあると警告する。ユーザーが設定を変更しないかぎり、暗号化されていない3Dモデル改変はきわめて容易であり、個人情報漏洩にもつながりかねない。
最大の問題は、Shodan のような IoT デバイス検索ツールがあれば、無防備な OctPrint 搭載の3Dプリンター探索はさほど難しくないこと。実際に無防備な同インターフェイスを持つ3Dプリンターを探索するには巧妙な検索クエリが必要だが、IPアドレスやネットワーク名といった、攻撃者が3Dプリンターのある場所をおおまかに特定できる情報漏洩の可能性がある。
この問題に対しOctoPrint 側もブログ記事でユーザー側に、不正アクセスを遮断する設定に変更するよう注意喚起を行っている。最悪の場合、3Dプリンターのファームウェアを書き換えられて3Dプリンターそのものが使用不能になる恐れもあるという。Shodan のようなツールを使用して OctoPrint 搭載3Dプリンターを検索した結果、米国に 1,585台、ドイツに 357 台、フランスに 303 台、英国に 211 台、そしてカナダに 162 台がそれぞれ見つかったとしている。
→ 参照元記事1.
→ 参照元記事2.
