/

狙われるオフィスの複合機 対策放置が招く情報漏えい

 東京大学など国内の複数の大学で、コピーやスキャナー、ファックスなどの機能を備える複合機で読み取った情報が、インターネット上で誰でも閲覧できる状態になっていた問題を受け、複合機の情報セキュリティーに対する不安が広がっている。2013年11月5日には、複合機メーカー各社が注意喚起を促す情報を発信し、11月8日には独立行政法人の情報処理推進機構(IPA)も文書を公表して注意を喚起した。情報セキュリティーや個人情報保護などに詳しい、会津大学特任教授 山崎文明氏に問題の背景や対策などについて解説してもらった。

複合機からの情報漏えい問題がメディアをにぎわしている。こうした攻撃は技術的には目新しい脅威ではなく、古くからあるIT(情報技術)環境に対するマネジメントが抱える課題が顕在化したものだ。ここでは、そうした視点からこの問題の背景や今後の展開を考えてみる。

セキュリティーの欠陥が放置状態

昨今、複合機におけるセキュリティーの危険性は、専門家の間でしばしば指摘されてきた。例えば、セキュリティー業界団体「Cloud Security Alliance」の創設者の一人であるミカエル・サットン氏は、EWS(Embedded Web Server)の危険性を挙げる。

EWSというのはネットワーク機器に組み込む形で搭載される「Webサーバー」である(図1)。複合機やテレビ会議システム、Web監視カメラ、IP電話機など多くの機器が、内部にWebサーバーを搭載している。

図1 狙われる複合機の組み込み型Webサーバー。ほとんどの複合機がEWSを初期設定でオンにしている

EWSの主な目的は、機器の自動的な構成管理や遠隔地からの保守点検、課金情報の収集などだ。複合機メーカーなどのシステムと通信して、必要な情報をやり取りする。そのため、(1)外部からアクセスが可能、(2)Webサーバーとして簡素な構成を持つ――という特徴がある。

実はこれが、セキュリティー対策が不十分なWebサーバーをインターネット上に公開している状態を生み出している可能性がある。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティーパッチ(修正プログラム)を当てていないことが多い」と指摘する。

例えばEWSの多くは、Webサーバーソフトに「Apache HTTP Server(Apache:アパッチ)」を搭載している。アパッチは多数のバグが存在するソフトで、バグが発覚する度にパッチを配布している。当然、アパッチには常に最新のパッチを当てておかなければ、簡単にハッキングされる(図2)。

図2 EWSの主要な問題点。業務システムや一般のWebサーバーとは異なり、積極的な管理はまず行われない。それに起因する問題が発生しがちだ

狙われるのはアパッチの脆弱性だけではない。複合機が搭載するLinux(リナックス)の脆弱性も放置されている可能性が高く、それも狙い目になる。サットン氏が調査した2011年5月当時は、脆弱性が検出されているEWSの例として「RomPager Ver 4.07」が374万台、「Virata-EmWeb Ver 6.01」が10万台も存在していたという。

検索エンジンで簡単に管理画面にアクセス

図3 SHODANのトップページ

さらに、宛先情報を窃取される可能性がある点にも注意が必要だ。最近の複合機はメールやインターネットFAXなどに使う宛先情報の登録の手間を減らすため、「LDAPサーバー」から情報を取得できるようになっている。ここから、アドレス帳情報が外部に漏えいするといった事案が既に発生している。

複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。"ハッカー御用達"の検索エンジン「SHODAN」を使うと、簡単に複合機の管理画面にアクセスできてしまう(図3)。

SHODANはオンラインデバイスを機種別、国別に一覧表示するサービスで、トップ画面に「Expose Online Devices」(オンラインデバイスを暴く)との表示があるように、インターネットに接続されているWebカメラや複合機などのデバイスを検索できる。

図4 複合機のネットワーク設定は簡単に検索可能

メーカー、機種ごとに固有の文字列をSHODANに入力して検索すれば、指定したメーカー、機種のデバイスが国別に何台オンライン状態にあるかが分かる。さらに、その一覧から個別の複合機にアクセスできる。SHODANで検索するだけで、EWS上で動作するWebサイト(複合機の管理画面)のトップページまでたどりつけるのだ。

その管理画面ではさまざまな情報を取得できる。ある複合機では、複合機自身のIPアドレスやMACアドレスのほか、プロキシーサーバーやデフォルトゲートウエイのIPアドレスなどが見えてしまう状態だった(図4)。これらは企業ネットワークの構造を把握できる、攻撃者にとっては"おいしい情報"である。

対策は「もっともなもの」ばかり

一連の情報漏えいに関する報道を受け、IPAは2013年11月8日、「複合機のオフィス機器をインターネットに接続する際の注意点」と題した文書を公表した。IPAが公開している技術的な対策は、以下の4つである。

ネットワークでの対策として、(1)必要性がない場合には、オフィス機器を外部ネットワーク(インターネット)に接続しない、(2)外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールを経由させ、許可する通信だけに限定する。

また、オフィス機器(複合機側)での対策として、(3)オフィス機器の管理者パスワードを出荷時のものから変更する、(4)オフィス機器のアクセス制御機能を有効にし、データアクセス時にID、パスワードなどの認証を求める運用にす。

いずれももっともな対策である。ただしこの対策を読んで自社の複合機の設定やファイアウォールの設定を確認できる企業にとっては、複合機のセキュリティー問題は無縁だろう。今回の問題に関する報道が意味を持つとすれば、改めて複合機もIT機器の一つであることを企業や団体の経営者やシステム関係者に認識させた点にある。

ほとんどの場合、コピー機は総務部門や庶務部門の所管とされ、IT機器であるとの認識がない組織が多いことが、この問題の根本的な原因の一つである。

なぜ学術機関の複合機が丸見えになるのか

IPAが示す対策(1)は、当然と思われる読者も多いだろう。IPAは、11月8日の発表の冒頭で「学術関係機関において複合機の情報がインターネットから閲覧できる状態になっていることが問題となっていることを受け、組織のシステム管理者に対し、広く対策の徹底を呼びかけるため、注意喚起を発することにしました」と述べている。

もちろん、外から丸見えになっている複合機を保有するのは学術関係機関に限らず、民間企業も例外ではない。学術関係機関が特に目立つのは、複合機に対して、インターネットに接続された機器に一意に割り当てられる「グローバルIPアドレス」が振られている例が、民間企業に比べて圧倒的に多いからだ。

その背景には、大学をはじめとする学術関係機関は、その規模の割に民間企業と比して潤沢な数のIPアドレスが割り当てられていることがある。だとすると今後、IPアドレスのIPv6への移行が進み、すべての機器にグローバルIPアドレスを割り振れるようになれば、こうした事態が多くの組織で起こりかねない。

当たり前の対策が取られていない事情

対策(2)は、システム部門の担当者からすれば当然の対策だが、果たして明確なシステム部門を持たない中小企業の場合には可能な対策だろうか。こうした企業の多くは、IT機器の設定はすべて業者任せである。

ましてやIT機器であるとの認識がない複合機などは、IT機器の後に追加で設置されることが多いと推測される。システム委託先の技術者の関心が低ければファイアウォールの設定が見直されることはなく、複合機が設置されることも珍しくないのだろう。

対策(3)ももっともな対策だが、今まで複合機のユーザーは、複合機の設置にあたって管理者パスワードの設定変更が重要だと説明されることは少なかったようだ。そのような機能があることさえ知らないで利用しているユーザーは、今も少なくないと推測される。

さらに付け加えるなら、複合機のデフォルトパスワード(工場出荷時)は、その機種のマニュアルをインターネットで検索すれば容易に見つけられてしまう。デフォルトパスワードは機器1台ごとに変えて、例えば固体番号にするなどの工夫がメーカーには求められる。

対策(4)については、そもそも古い機種ではIDとパスワードによる認証機能がないものがある。こうなると複合機の制御システムの変更が必要になるが、制御システムはコピー機内のASIC(特定用途向けIC)に焼き付けられているため、容易に変更できないのだ。この事実は、既知のセキュリティーホールが放置される問題の根本原因になる。新製品の開発に当たって、メーカーが取り組むべき大きな課題だろう。

新たな脅威は「アウトバウンドの攻撃」

図5 「DEFCON」のトップページ

昨今では、複合機の新たな脅威として、内部から外部に向かっての「アウトバウンドのDOS (Denial of Service)攻撃」が浮上している。

毎年、米国ラスベガスで開催され、全世界から2万人近い自称"ハッカー"が集う大規模な祭典「DEFCON」で筆者が注目したのは、プリンターを踏み台として使用したDOS攻撃だった(図5)。

DOS攻撃は外部から内部への「インバウンドの攻撃」が常識的だが、ここで実演されたのは内部から外部へのDOS攻撃だった。発表者は、舞台に設置したネットワーク内にあるプリンターからそのネットワーク上のルーターへDOS攻撃を仕掛けた。結果はプリンターの勝利で、あえなくルーターはダウンしてしまった。

ダメージ大きい攻撃が可能に

筆者が注目するのは、こうした攻撃がサイバーテロに応用される可能性が高いからだ。サイバー攻撃は永遠に続くものではなく、原因が特定されればそれらは排除され、いずれシステムは復旧する。しかし攻撃者はサイバー攻撃のダメージを最大化させるため、ウイルス検知を妨害したり、攻撃元のIPアドレスを短時間に変えて攻撃を持続させたりするのが最近の特徴だ。

ここでネットワーク内にあるプリンターを乗っ取って、ここからDOS攻撃を仕掛けるという、通常では想定しえない攻撃を受けたらどうなるだろう。ルーターがダウンすれば多くのシステム管理者は、まず電源の再投入を試みるが、それでも攻撃は続くため、ルーターはすぐさま再びダウンする。プリンターからDOSの攻撃パケットが発信されていることに気付くまでに、相当な時間を要する可能性がある。

これはサイバー攻撃のダメージをできるだけ大きくしたいと考えるテロリストにとっては、非常に魅力的な攻撃手法だ。DEFCONでこの攻撃手法を公開したグループは、攻撃ツールとしてプリンター以外にWebカメラやIP電話機などでも応用できる点を指摘していた。

メーカーに望む「世界一安全」な機器

もちろん、どの攻撃でも対策は打てる。重要なのは、こうした攻撃を想定し得るかどうかという企業マネジメントの問題であることだ。システム管理者はTCP/IPプロトコルで通信される機器のすべてを管理下に置き、セキュリティー対策に抜かりがないかを点検する必要がある。

一方、メーカーに求めたいのは、ITに詳しくない企業ユーザーでも、意識することなく安全に使用できる機器の開発である。「ファイアウォールの設定が適切に行われていれば心配無用」との説明は、専門の担当者がいない中小企業には通用しないだろう。

2年前にDEFCONで指摘された複合機の問題で、やり玉にあげられたメーカーのほとんどが日本企業だった。現場に居合わせた筆者は、日本人として肩身の狭い思いをした。複合機の世界市場で圧倒的な存在感を示している日本企業だからこそ、セキュリティーの面で模範となる製品開発を期待したい。

(会津大学特任教授 山崎文明)

[ITPro 2013年11月12日号の記事を基に再構成]

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン