オフィス機器の脆弱性に関する注意喚起がたびたび発表

　IPAは11月8日、オフィス複合機（FAX、コピー、プリンター）の脆弱性に関する注意喚起を発表し、多くのメディアに記事として取り上げられた。

　複合機などPC以外のオフィス機器に関する注意喚起は、これが初めてではない。この発表の前日には、一部の新聞で「大学などの複合機が外部から閲覧可能になっている」という記事が掲載されており、問題は深刻になっている。

　読者の皆様は、「SHODAN」というサービスをご存じだろうか。「SHODAN」は、ネットワーク上のサーバー、ルータなどの端末やサービス、バージョン等を検索できる新しい形の検索エンジンだ。

　もし攻撃者がこういったサービスを利用したとすれば、主だった複合機にデフォルト（工場出荷状態）で設定されている管理者IDやパスワードを調べて、簡単に複合機に侵入できてしまう可能性があるのだ。大学のコピー機やプリンタには、学生の個人情報や試験問題などのデータが残っているかもしれないのに、外部からアクセス可能な状態なのは問題だろう。

　今回は、オフィス複合機の脆弱性に対してユーザーがどのような対策をとるべきかを考えていきたい。

メーカー任せにせず、ユーザー自身で脆弱性から身を守れ

　重要なポイントの1つは、「メーカー任せにしない」ということだ。

　一連のセキュリティ脆弱性の注意喚起によって、一部のメディアではメーカーは機器の脆弱性対策が甘いのではないかという意見や報道も見られた。果たして、本当にメーカーの対策が不十分で、甘いのだろうか。

　複合機は、コンビニなどの例外を除けばオフィス内のセキュアな設置場所での操作が前提となり、使う人も原則として社員などに限定されるはずだ。外部の人間が勝手に使えるものではない。そのような機器の内部データが、ファイアウォールの外から見えてしまったり、デフォルトのパスワードを変更していなかったりするならば、これはメーカーというよりユーザー側の問題だ。

　この問題で、メーカーの対策不備だけを問うのは無理があるのではないだろうか。多機能化する複合機の管理には、ユーザー側にも一定の管理リテラシーが必要とされているのだ。

　もちろん、非PCの電子機器などはネット接続機能を有しながら、ファームウェアのアップデートなどがユーザー側でできないものが多い。ライブラリやソフトウェアに脆弱性が発見されたら、しかるべきセキュリティパッチなどのサポートはメーカーの責任といえる。

　しかしその場合でも、製品に暗号化や認証機能が実装されているのか、ファームウェアのアップデートなどは受けられるのか、といったことを確認する意識は持ちたい。

　さらに気の利いたセキュリティ担当者なら、JVNやCVEなどの脆弱性情報データベースを利用したLinux、各種ドライバ、オープンソース系ライブラリの情報チェックを怠らないでほしい。そしてもし自社の複合機、電子機器、デバイス、監視カメラ、制御システムなどに関係ありそうなものを発見したら、メーカーに問い合わせるくらいしてもよいのではないか。

【次ページ】複合機とボールペンは同じ事務機器なのか？