事例Use case

【Bitdefender海外ブログ】他のIoTデバイス同様、設定ミス一つで脆弱になる3Dプリンター

2020.5.28

ツイート シェア 送る はてブ

printer-2416269_1920.jpg

3Dプリンターを遠隔操作された場合の危険性とは?

現代において、印刷とは、もはやデジタル文書を物理世界にもたらすだけではありません。3D図面に基づき、原材料から物理的なオブジェクトを自動造形することも3D印刷と呼ばれ、使われる機械は、インターネットに接続できます。

適切に保護しなければ、リモートアクセスによってハッカーから操作を妨害されたり、開発部門で作業するオブジェクトの3D図面が盗まれるかもしれません。また、不正な遠隔操作によって、オブジェクトを勝手に印刷され、オーバーヒートによる火災が発生する可能性もあります。

フリーのサイバーセキュリティコンサルタント兼SANS Internet Storm Centerのシニアハンドラーであるザビエル・マーテンズ(Xavier Mertens)氏が、インターネットから認証不要でアクセスできる3Dプリンターを検索したところ、3,700台以上も見つかりました。どれも、強力かつユニークなパスワードでの保護が必要なOctoPrintインターフェースを共有していました。

OctoPrintは、一部の3Dプリンター用のウェブベースのコントロールパネルで、機能管理とデバイスの操作状況および状態を監視します。300℃まで加熱し、グラフで表示します。また、3D部品を造形する詳細が含まれるファイルへのアクセスも許可します。


複合機もパスワード変更や不正侵入防止などのセキュリティ対策を

このようなプリンターは、コンピューターを使って製造する時に使用する数値制御プログラミング言語のGコードで指示を理解することができます。指示は、保護されていないプレーンテキストファイル内にあるため、誰でもテキストエディタで開き、改ざんできます。

マーテンズ氏はOctoPrintインターフェースについて以下のように述べます。「ユーザーのプライバシーに影響するウェブカム監視機能が搭載されています。監視角度の焦点は印刷ジョブに定められていますが、他の詳細は、攻撃者に見られ利用される可能性があり、作業に影響がでるかもしれません」

ハッカーにとって、3Dプリンターは他のコネクテッドデバイス同様に、危害を加えたり、金銭的目的を満たすために利用できます。さらに3Dプリンターの場合は、悪用されると物理的な影響を直接与えることができます。ハッカーは、僅かながら、リスクを伴う形で印刷ジョブが実行されるように、このようなプリンターを改ざんするかもしれません。

3Dプリンターへの不正アクセスを防ぐ方法は、他のコネクテッドデバイスと変わりません。まずは、必ず、メーカーからの初期値のパスワードをカスタムへ変更してください。この時、ログインに使用できる文字の種類をできるだけ多く含めてください。OctoPrintの初期値パスワードの変更方法はこちらをご覧ください。

イメージ提供:lppicture

翻訳元記事 3D printers are just as vulnerable to misconfiguration as other IoT devices




低コストかつ容易な運用で小規模オフィスを守れるセキュリティWi-Fi「SECURIE(セキュリエ)」

BBSSが提供するセキュリティWi-Fi「SECURIE」は、小さなセキュリティルーターを、中小企業やSOHOのオフィス内に設置するだけで、オフィス内に設置されたPCやサーバー、プリンター、果てはネット家電まで、ネットワークに接続されたすべての機器のセキュリティ対策を一手にカバーしてくれます。加えて、オフィスで使用するすべての端末にインストールできるアンチウイルスソフトのライセンスも提供されます。

securie_service_200528.PNG機能1:不正アクセス防止
AIによる不正通信や侵入行為を発見するIDS/IPSやDPIなど、高度な検知技術と脆弱性診断を搭載し、ネットワークの出入口を守るセキュアゲートウェイとして機能。VPNによる暗号化通信も標準装備しています。オフィス内で、ネットにつながるすべての接続機器の保護状態を可視化します。

securie_soho_200528.PNG機能2:ぜい弱性診断
指定端末にネットワークセキュリティ上の欠陥がないかを診断します。ユーザー名・パスワードの組み合わせの保護レベルが低い、ファームウェアのバージョンが古い、CVE脆弱性がある、などといった危険性を指摘します。これらの脆弱性が発見された場合は、Centralアプリに通知が届き、対処方法をすぐにユーザーに知らせてくれます。

脆弱性レポート.png