Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

IoT機器はリモートアクセスさせる必要性を考えるべき

マイナビニュースに、Nakedsecurityの記事が出ていました。

news.mynavi.jp

インターネットに接続された数千台の3Dプリンタが遠隔から悪用できる状況になっていると指摘した。

 

こうした3Dプリンタからは過去の印刷データを窃取することができるほか、細工されたコードを送り込むことで3Dプリンタを破壊するような動作を行わせることもできるとしている。モデルによってはWebカメラが付属しており、こうしたデバイスを通じてモニタリングを行われるおそれもある。

マイナビニュース記事より引用)

 

◆キタきつねの所感

マイナビニュースの記事が出る前に、原文(Naked Security)記事を読んでいたのですが、高価な3Dプリンタが無造作にインターネットに接続されている、そんな部分の脆弱性が出てきたのだと感じます。

nakedsecurity.sophos.com

今や、3Dプリンタで銃まで印刷できる訳ですが、@ITの記事によれば、、金属の3Dプリンタも今後出てくるとの(展示会新製品情報)もあり、外部からコントロールされてしまう、そんなリスクに対して無防備なのは今後問題となっていくかも知れません。

monoist.atmarkit.co.jp

企業ベースで考えると、例えば有名企業の”試作品”の設計図が、外部のハッカーによって漏洩してしまう。そんな開発情報漏えいリスクすら考えられる訳ですが、元々、こうしたリスクは3Dプリンタがインターネット接続されているから起きるわけです。

今回の記事(元記事を読むと)の場合、

However, even with this turned on anyone will be able to view read-only data, which is not something an owner is likely to want to allow. To avoid this, OctoPrint’s developers recommend that users consider an alternative means of remote access – such as via a plug-in like OctoPrint Anywhere or Polar Cloud, a VPN, or an Apache or Nginx reverse proxy.

アクセスコントロール不備についても指摘していますが、更にリモートアクセスを使う必要あるのか?(代替手段を考えるべき)という事も書かれています。

 

IoT機器は、セキュリティ意識があまりなく設計される場合があるのが、遠因なのだろうと思うのですが、ネットにつなぐメリットと、そこから生まれるリスクを併せて検討するべき時に来ているのではないでしょうか。

 

 

3Dプリンターのイラスト

更新履歴

  • 2018年9月9日AM(予約投稿)