狙われるオフィスの複合機 対策放置が招く情報漏えい

(3/4ページ)
2013/11/22 7:00
保存
共有
印刷
その他

■なぜ学術機関の複合機が丸見えになるのか

IPAが示す対策(1)は、当然と思われる読者も多いだろう。IPAは、11月8日の発表の冒頭で「学術関係機関において複合機の情報がインターネットから閲覧できる状態になっていることが問題となっていることを受け、組織のシステム管理者に対し、広く対策の徹底を呼びかけるため、注意喚起を発することにしました」と述べている。

もちろん、外から丸見えになっている複合機を保有するのは学術関係機関に限らず、民間企業も例外ではない。学術関係機関が特に目立つのは、複合機に対して、インターネットに接続された機器に一意に割り当てられる「グローバルIPアドレス」が振られている例が、民間企業に比べて圧倒的に多いからだ。

その背景には、大学をはじめとする学術関係機関は、その規模の割に民間企業と比して潤沢な数のIPアドレスが割り当てられていることがある。だとすると今後、IPアドレスのIPv6への移行が進み、すべての機器にグローバルIPアドレスを割り振れるようになれば、こうした事態が多くの組織で起こりかねない。

■当たり前の対策が取られていない事情

対策(2)は、システム部門の担当者からすれば当然の対策だが、果たして明確なシステム部門を持たない中小企業の場合には可能な対策だろうか。こうした企業の多くは、IT機器の設定はすべて業者任せである。

ましてやIT機器であるとの認識がない複合機などは、IT機器の後に追加で設置されることが多いと推測される。システム委託先の技術者の関心が低ければファイアウォールの設定が見直されることはなく、複合機が設置されることも珍しくないのだろう。

対策(3)ももっともな対策だが、今まで複合機のユーザーは、複合機の設置にあたって管理者パスワードの設定変更が重要だと説明されることは少なかったようだ。そのような機能があることさえ知らないで利用しているユーザーは、今も少なくないと推測される。

さらに付け加えるなら、複合機のデフォルトパスワード(工場出荷時)は、その機種のマニュアルをインターネットで検索すれば容易に見つけられてしまう。デフォルトパスワードは機器1台ごとに変えて、例えば固体番号にするなどの工夫がメーカーには求められる。

対策(4)については、そもそも古い機種ではIDとパスワードによる認証機能がないものがある。こうなると複合機の制御システムの変更が必要になるが、制御システムはコピー機内のASIC(特定用途向けIC)に焼き付けられているため、容易に変更できないのだ。この事実は、既知のセキュリティーホールが放置される問題の根本原因になる。新製品の開発に当たって、メーカーが取り組むべき大きな課題だろう。

■新たな脅威は「アウトバウンドの攻撃」

図5 「DEFCON」のトップページ

図5 「DEFCON」のトップページ

昨今では、複合機の新たな脅威として、内部から外部に向かっての「アウトバウンドのDOS (Denial of Service)攻撃」が浮上している。

毎年、米国ラスベガスで開催され、全世界から2万人近い自称"ハッカー"が集う大規模な祭典「DEFCON」で筆者が注目したのは、プリンターを踏み台として使用したDOS攻撃だった(図5)。

DOS攻撃は外部から内部への「インバウンドの攻撃」が常識的だが、ここで実演されたのは内部から外部へのDOS攻撃だった。発表者は、舞台に設置したネットワーク内にあるプリンターからそのネットワーク上のルーターへDOS攻撃を仕掛けた。結果はプリンターの勝利で、あえなくルーターはダウンしてしまった。

  • 前へ
  • 1
  • 2
  • 3
  • 4
  • 次へ
保存
共有
印刷
その他

日経BPの関連記事

電子版トップ



[PR]