狙われるオフィスの複合機 対策放置が招く情報漏えい

(2/4ページ)
2013/11/22 7:00
保存
共有
印刷
その他

狙われるのはアパッチの脆弱性だけではない。複合機が搭載するLinux(リナックス)の脆弱性も放置されている可能性が高く、それも狙い目になる。サットン氏が調査した2011年5月当時は、脆弱性が検出されているEWSの例として「RomPager Ver 4.07」が374万台、「Virata-EmWeb Ver 6.01」が10万台も存在していたという。

■検索エンジンで簡単に管理画面にアクセス

図3 SHODANのトップページ

図3 SHODANのトップページ

さらに、宛先情報を窃取される可能性がある点にも注意が必要だ。最近の複合機はメールやインターネットFAXなどに使う宛先情報の登録の手間を減らすため、「LDAPサーバー」から情報を取得できるようになっている。ここから、アドレス帳情報が外部に漏えいするといった事案が既に発生している。

複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。"ハッカー御用達"の検索エンジン「SHODAN」を使うと、簡単に複合機の管理画面にアクセスできてしまう(図3)。

SHODANはオンラインデバイスを機種別、国別に一覧表示するサービスで、トップ画面に「Expose Online Devices」(オンラインデバイスを暴く)との表示があるように、インターネットに接続されているWebカメラや複合機などのデバイスを検索できる。

図4 複合機のネットワーク設定は簡単に検索可能

図4 複合機のネットワーク設定は簡単に検索可能

メーカー、機種ごとに固有の文字列をSHODANに入力して検索すれば、指定したメーカー、機種のデバイスが国別に何台オンライン状態にあるかが分かる。さらに、その一覧から個別の複合機にアクセスできる。SHODANで検索するだけで、EWS上で動作するWebサイト(複合機の管理画面)のトップページまでたどりつけるのだ。

その管理画面ではさまざまな情報を取得できる。ある複合機では、複合機自身のIPアドレスやMACアドレスのほか、プロキシーサーバーやデフォルトゲートウエイのIPアドレスなどが見えてしまう状態だった(図4)。これらは企業ネットワークの構造を把握できる、攻撃者にとっては"おいしい情報"である。

■対策は「もっともなもの」ばかり

一連の情報漏えいに関する報道を受け、IPAは2013年11月8日、「複合機のオフィス機器をインターネットに接続する際の注意点」と題した文書を公表した。IPAが公開している技術的な対策は、以下の4つである。

ネットワークでの対策として、(1)必要性がない場合には、オフィス機器を外部ネットワーク(インターネット)に接続しない、(2)外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールを経由させ、許可する通信だけに限定する。

また、オフィス機器(複合機側)での対策として、(3)オフィス機器の管理者パスワードを出荷時のものから変更する、(4)オフィス機器のアクセス制御機能を有効にし、データアクセス時にID、パスワードなどの認証を求める運用にす。

いずれももっともな対策である。ただしこの対策を読んで自社の複合機の設定やファイアウォールの設定を確認できる企業にとっては、複合機のセキュリティー問題は無縁だろう。今回の問題に関する報道が意味を持つとすれば、改めて複合機もIT機器の一つであることを企業や団体の経営者やシステム関係者に認識させた点にある。

ほとんどの場合、コピー機は総務部門や庶務部門の所管とされ、IT機器であるとの認識がない組織が多いことが、この問題の根本的な原因の一つである。

  • 前へ
  • 1
  • 2
  • 3
  • 4
  • 次へ
保存
共有
印刷
その他

日経BPの関連記事

電子版トップ



[PR]