最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、11月の月例パッチは「緊急」3件「重要」5件(2013/11/08) | メイン | ◆インターネット・ホットラインセンターへの通報が減少、前年同期の2/3に(2013/11/12) »

2013/11/11

◆複合機からのデータ漏えい相次ぐ――家庭にある複合機は大丈夫?(2013/11/11)

 複合機(プリンター、複写機、FAX、スキャナーなどの機能をまとめた機器)に保存していた情報がインターネットを通じて漏れていた、という報道が相次いだ。自宅で使っている複合機は大丈夫だろうかと不安をもった方のために、どういう場合に情報が漏れてしまうのかをまとめた。

■普通の人が普通に使っていれば大丈夫

 まず、情報漏れが起きたのは、データを保存するためのHDDを内蔵している、業務用の複合機だということを知っておこう。家庭用の複合機は内部にデータを保存する機能を持っていないので、コピーやスキャンした内容が漏れることはない。  さらに、メーカー各社がアナウンスしている通り、ファイアーウォールなどで保護されたネットワーク環境下で使っていれば、複合機からの情報漏れは起こらない。「保護されたネットワーク」というと、特別な対策を施す必要があるように思えるかもしれないが、そうではない。一般的な環境で普通に設置して普通に使っていれば、情報漏えいは起きない。逆に、特殊な環境で情報洩れが起きたのだ。

■データが閲覧可能になってしまう条件

 複合機に限らず、ネット対応のあらゆる機器にいえることだが、情報がインターネットから閲覧可能になってしまうのは以下の2つの条件が揃った場合だ。

(1)インターネット側から機器にアクセスできる  この条件に当てはまるのは、ルーターを使わず、ファイアーウォールも使わずに、機器をインターネットに直結している状態、あるいはこれらを利用してはいるがポートを解放している状態だ。家庭や小規模なオフィスでは、ルーターを入れてローカルアドレスで運用しないと、複数の機器にインターネット環境を提供できない。ルーターを入れると、インターネット側から機器へのアクセスは遮断される。また、複合機を利用するにあたりポートを開放する必要はない。簡単にいえば、家庭や小規模なオフィスで複合機を使う場合、普通に設置するだけで「保護された環境下での利用」が実現できており、情報漏れを防ぐための特別な作業は必要ない。  一方、ここ数日間で報じられたのは、大学に設置されていた複合機からの情報漏れだ。家庭や小規模オフィスのネット環境とは大きく異なり、大学では機器1台ごとにグローバルアドレスを割り当てていることがある。この場合は、機器をインターネットに直結することになるため、保護対策が必要となる。

(2)機器のパスワードが甘い  機器をインターネットに直結している場合でも、パスワードをきちんと設定してあれば機器内部の情報を閲覧されることはない。パスワードを設定していないのは無防備すぎるが、初期設定のままにしているという状態も危険だ。上述のように、家庭や小規模なオフィスではネット対応機器からデータが漏れることはまずないのだが、念のために、見破れらにくいパスワードを設定しておくことをおすすめしたい。

■各大学で情報漏れが起きた状況

 各社の報道によると、情報漏れが明らかになった各大学は以下のような状況だった。 ・SankeiBizによると、中部地方の国立大学のある研究室では、複合機がインターネット回線に直接接続され、IDとパスワードが設定されていなかったという。 ・フジニュースネットワークによると、東京大学医科学研究所では、複合機の外部からの閲覧について対策を行っていたが、2012年末に配置替えを行った際、設定が初期設定に戻っていた可能性があるという。 ・読売新聞によると、名古屋大では、医学系研究科の准教授が、自宅から接続して作業できるように、大学に無断で複合機の設定を変更していた。同じく読売新聞によると、慶応大では、政策・メディア研究科の教員らが大学に無断で複合機を設置し、セキュリティを初期設定のままにしていたとみられている。

■メーカー各社やIPAが注意呼びかけ

 報道を受け、複合機のメーカー各社では注意喚起を行っている。またIPA(情報処理推進機構)も、複合機に限らずビデオ会議システムやウェブカメラなど、インターネットに接続するオフィス機器が増えているとして、これら機器を単なる事務用品とみなさず、パソコンやその他のIT機器と同じように組織のセキュリティ方針を策定し、それに従って運用する必要があると呼びかけている。

(2013/11/11 ネットセキュリティニュース)

【関連URL】 ・本学複合機がインターネット上で閲覧可能となっていた件について(東京大学) http://www.u-tokyo.ac.jp/ja/news/notices/1303/ ・オフィス機器にも適切な通信制限と認証によるアクセス制限を施すことが必要です(IPA) https://www.ipa.go.jp/about/press/20131108.html

【関連URL:各社の注意喚起】 ・複合機のセキュリティに関する報道について(沖データ) http://www.okidata.co.jp/info/info_131107.html ・複合機のセキュリティーに関する報道について(キヤノン) http://cweb.canon.jp/newsrelease/2013-06/pr-mfpsecurity.html ・複合機のセキュリティーに関する報道について(京セラ) http://www.kyoceradocumentsolutions.co.jp/news/rls_2013/rls_20131107.html ・複合機のセキュリティーに関する報道について(京セラ) http://www.kyoceradocumentsolutions.co.jp/news/rls_2013/rls_20130605_0.html ・複合機のセキュリティに関する報道について(コニカミノルタ) http://www.konicaminolta.jp/business/information/2013/131105.html ・複合機のセキュリティに関する報道について(シャープ) http://www.sharp.co.jp/print/information/info_security_2013-11-05.html ・複合機のセキュリティ対策について(東芝テック) http://www.toshibatec.co.jp/page.jsp?id=4149 ・複合機のセキュリティに関する報道について(東芝テック) http://www.toshibatec.co.jp/page.jsp?id=4148 ・複合機のセキュリティーに関する報道について(富士ゼロックス) http://news.fujixerox.co.jp/news/2013/001003/ ・複合機のセキュリティーに関する報道について(村田機械/ムラテック販売) http://www.muratec.jp/ce/business/news/oshirase_20131107.html ・複合機のセキュリティに関する報道について(リコー) http://www.ricoh.co.jp/info/130604.html

投稿情報: 13:00 |

|