Anycubicの3Dプリンタにゼロデイの脆弱性、290万台以上に影響か

Bleeping Computerは2月28日(米国時間)、「Anycubic 3D printers hacked worldwide to expose security flaw」において、Anycubicの3Dプリンタに脆弱性が発見されたと報じた。この脆弱性を抱えている影響を受けたデバイスに警告が表示されたという。
○発見者は対応しないメーカーに怒りを感じている？
脆弱性の詳細は公開されていないが、Bleeping Computerによると、AnycubicのMQTT(Message Queuing Telemetry Transport)プロトコルを使用したサービスAPIに脆弱性が存在し、Anycubicの3Dプリンタを制御できるとみられる。
警告文を受け取ったユーザーが公開したテキストファイルには、「あなたのマシンには緊急(Critical)の脆弱性が存在し、重大な脅威をもたらす。直ちに対処することを強く推奨する。脅威アクターに悪用されたくなければ、プリンタをインターネットから切断して。これは無害なメッセージ。あなたは被害を受けていない」と記載されており、軽減策を示すとともに攻撃の意図がないことが明らかにされている。
また、警告文の最後には「2,934,635台がこの警告文の受信を試みた。」とあることから、290万台以上の3Dプリンタにセキュリティ脆弱性が存在するとみられる。これまでのところ、中国に拠点を置くAnycubicは本件について公式声明を発表していない。発見者またはその関係者とみられる人物はこのメーカーの対応に業を煮やしたとみられ、コミュニティーサイトに匿名で投稿をしている。
投稿によると、脆弱性は2件発見され、Anycubicに報告を試みたという。しかしながら、2カ月間に3通のメールを送信したが、メーカーからは1通も返事はなかったとしている。投稿者は友好的な解決を望んでいるが、メーカーが問題を真剣に受け止めていないとして脆弱性をツールと共に公開する予定としている。
○脆弱性への対策
投稿の内容が真実かわからないが、投稿によると脆弱性のうち1つは壊滅的な影響があるという。少なくとも3Dプリンタに(無害ではあるが)不正侵入が行われたことから、脆弱性は存在するものとみられる。
Anycubicは被害報告を受けて数時間後にアプリを停止したとみられ、現在は利用を試みても「network unavailable」と表示されるという。これまでのところ、脆弱性の本格的な悪用は確認されていない。
しかしながら、Anycubicの3Dプリンタを利用しているユーザーは攻撃を回避するため、問題が解決されるまでの間インターネットから3Dプリンタを切断することが望まれている。