• 会員限定
  • 2013/12/03 掲載

複合機にセキュリティ脆弱性発見、何をすべきか?サイバー攻撃に対する防御策3箇条

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
IPA(情報処理推進機構)は11月8日、オフィス複合機(FAX、コピー、プリンター)の脆弱性に関する注意喚起のプレスを発表した。オフィス複合機の脆弱性を狙ったサイバー攻撃はここ最近多発しており、深刻な問題になっている。ユーザーはメーカーの対策を待っているだけでいいのか。自分自身でサイバー攻撃から身を守る方法は果たしてあるのだろうか。今回は、ユーザーが行うべき3つの防御策を解説したい。

オフィス機器の脆弱性に関する注意喚起がたびたび発表

連載一覧
 IPAは11月8日、オフィス複合機(FAX、コピー、プリンター)の脆弱性に関する注意喚起を発表し、多くのメディアに記事として取り上げられた。

 複合機などPC以外のオフィス機器に関する注意喚起は、これが初めてではない。この発表の前日には、一部の新聞で「大学などの複合機が外部から閲覧可能になっている」という記事が掲載されており、問題は深刻になっている。

 読者の皆様は、「SHODAN」というサービスをご存じだろうか。「SHODAN」は、ネットワーク上のサーバー、ルータなどの端末やサービス、バージョン等を検索できる新しい形の検索エンジンだ。

 もし攻撃者がこういったサービスを利用したとすれば、主だった複合機にデフォルト(工場出荷状態)で設定されている管理者IDやパスワードを調べて、簡単に複合機に侵入できてしまう可能性があるのだ。大学のコピー機やプリンタには、学生の個人情報や試験問題などのデータが残っているかもしれないのに、外部からアクセス可能な状態なのは問題だろう。

 今回は、オフィス複合機の脆弱性に対してユーザーがどのような対策をとるべきかを考えていきたい。

メーカー任せにせず、ユーザー自身で脆弱性から身を守れ

 重要なポイントの1つは、「メーカー任せにしない」ということだ。

 一連のセキュリティ脆弱性の注意喚起によって、一部のメディアではメーカーは機器の脆弱性対策が甘いのではないかという意見や報道も見られた。果たして、本当にメーカーの対策が不十分で、甘いのだろうか。

 複合機は、コンビニなどの例外を除けばオフィス内のセキュアな設置場所での操作が前提となり、使う人も原則として社員などに限定されるはずだ。外部の人間が勝手に使えるものではない。そのような機器の内部データが、ファイアウォールの外から見えてしまったり、デフォルトのパスワードを変更していなかったりするならば、これはメーカーというよりユーザー側の問題だ。

 この問題で、メーカーの対策不備だけを問うのは無理があるのではないだろうか。多機能化する複合機の管理には、ユーザー側にも一定の管理リテラシーが必要とされているのだ。

 もちろん、非PCの電子機器などはネット接続機能を有しながら、ファームウェアのアップデートなどがユーザー側でできないものが多い。ライブラリやソフトウェアに脆弱性が発見されたら、しかるべきセキュリティパッチなどのサポートはメーカーの責任といえる。

 しかしその場合でも、製品に暗号化や認証機能が実装されているのか、ファームウェアのアップデートなどは受けられるのか、といったことを確認する意識は持ちたい。

 さらに気の利いたセキュリティ担当者なら、JVNやCVEなどの脆弱性情報データベースを利用したLinux、各種ドライバ、オープンソース系ライブラリの情報チェックを怠らないでほしい。そしてもし自社の複合機、電子機器、デバイス、監視カメラ、制御システムなどに関係ありそうなものを発見したら、メーカーに問い合わせるくらいしてもよいのではないか。

【次ページ】複合機とボールペンは同じ事務機器なのか?
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます