2019年5月20日(月)

狙われるオフィスの複合機 対策放置が招く情報漏えい

(1/4ページ)
2013/11/22 7:00
保存
共有
印刷
その他

 東京大学など国内の複数の大学で、コピーやスキャナー、ファックスなどの機能を備える複合機で読み取った情報が、インターネット上で誰でも閲覧できる状態になっていた問題を受け、複合機の情報セキュリティーに対する不安が広がっている。2013年11月5日には、複合機メーカー各社が注意喚起を促す情報を発信し、11月8日には独立行政法人の情報処理推進機構(IPA)も文書を公表して注意を喚起した。情報セキュリティーや個人情報保護などに詳しい、会津大学特任教授 山崎文明氏に問題の背景や対策などについて解説してもらった。

複合機からの情報漏えい問題がメディアをにぎわしている。こうした攻撃は技術的には目新しい脅威ではなく、古くからあるIT(情報技術)環境に対するマネジメントが抱える課題が顕在化したものだ。ここでは、そうした視点からこの問題の背景や今後の展開を考えてみる。

■セキュリティーの欠陥が放置状態

昨今、複合機におけるセキュリティーの危険性は、専門家の間でしばしば指摘されてきた。例えば、セキュリティー業界団体「Cloud Security Alliance」の創設者の一人であるミカエル・サットン氏は、EWS(Embedded Web Server)の危険性を挙げる。

EWSというのはネットワーク機器に組み込む形で搭載される「Webサーバー」である(図1)。複合機やテレビ会議システム、Web監視カメラ、IP電話機など多くの機器が、内部にWebサーバーを搭載している。

図1 狙われる複合機の組み込み型Webサーバー。ほとんどの複合機がEWSを初期設定でオンにしている

図1 狙われる複合機の組み込み型Webサーバー。ほとんどの複合機がEWSを初期設定でオンにしている

EWSの主な目的は、機器の自動的な構成管理や遠隔地からの保守点検、課金情報の収集などだ。複合機メーカーなどのシステムと通信して、必要な情報をやり取りする。そのため、(1)外部からアクセスが可能、(2)Webサーバーとして簡素な構成を持つ――という特徴がある。

実はこれが、セキュリティー対策が不十分なWebサーバーをインターネット上に公開している状態を生み出している可能性がある。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティーパッチ(修正プログラム)を当てていないことが多い」と指摘する。

例えばEWSの多くは、Webサーバーソフトに「Apache HTTP Server(Apache:アパッチ)」を搭載している。アパッチは多数のバグが存在するソフトで、バグが発覚する度にパッチを配布している。当然、アパッチには常に最新のパッチを当てておかなければ、簡単にハッキングされる(図2)。

図2 EWSの主要な問題点。業務システムや一般のWebサーバーとは異なり、積極的な管理はまず行われない。それに起因する問題が発生しがちだ

図2 EWSの主要な問題点。業務システムや一般のWebサーバーとは異なり、積極的な管理はまず行われない。それに起因する問題が発生しがちだ

  • 1
  • 2
  • 3
  • 4
  • 次へ
保存
共有
印刷
その他

日経BPの関連記事

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報