複合機のセキュリティ課題

Nov 06, 2022
1 minutes
... views

部署をまたぎサプライチェーンも巻き込む複合機のセキュリティ

printer

「複合機に困ってます」。

ある企業のIT責任者からこんな相談を受けました。

国内・海外含め多くのオフィスや拠点を持つその企業では、セキュリティ強化プロジェクトが行われていて、その一環で、複合機についてもアセスメントがはじまったところでした。調査の過程で、多くの拠点が利用する複合機に脆弱性の存在が判明したものの、複合機は総務部門が契約主体のリース品。IT部門の管轄でないので手出しができず、さて困った…とのこと。

じつは、複合機をはじめとするIoT機器の取り扱いについて、同様の課題をご相談をいただいた企業様はこの会社が初めてではありません。業務のデジタル化やコロナ禍によるリモートワークの普及で、オフィスでの印刷需要は減少傾向にあるようですが、複合機はまだまだオフィスになくてはならない必需品。しかも、かつてのプリンターやコピー機のような単純なアウトプットを行う印刷機器ではなく、インターネットを含むネットワークに繋がり、メモリとハードディスクを持ち、受け取った情報を処理するコンピューター、つまり適切に保護されるべき対象なのです。

企業は複合機の扱い方を早急に考え直さねばなりません。

3つの着眼点で複合機のセキュリティ課題に対応

1. 適切な設置環境で設定変更をしっかり行えているか

複合機メーカー側は、ユーザーに安全に利用してもらえるよう、セキュリティ対策関連の機能を継続的に強化し、関連情報もWebサイトで発信しています。多くの場合、こうした情報を通じて、ファイアウォールで作成した境界の内側に複合機を設置することや、インターネットからのアクセスを制限することを求めてもいます。しかしながら、いまでもインターネットから設定画面や構成情報に直接アクセスできる複合機やプリンターは数多く確認されています。そして、不用意にインターネットにさらされている機器は攻撃の対象となります。たとえば、Microsoftのレポートによれば、標的型攻撃グループAPT28(別名Sofacy、Fancy Bear, Fighting-Ursa)はターゲットへの最初の侵害をプリンター経由で行おうとしていたことが判明しています。

複合機を境界の内側に設置しても、それだけでは安全にはなりません。適切な設定変更が必要です。管理者パスワードの変更はもちろん、不要なプロトコルは利用を停止し、設定を変更して安全なバージョンのプロトコルのみを有効化しなくてはいけません。たとえばSSL/TLSやSNMP、SMBといった複合機でよく使われるプロトコルのバージョンが古いと、安全でないことがわかっています。

2. 継続的に遅滞なく脆弱性に対応する手順が整備されているか

脆弱性は複合機の代表的なリスクです。多様な機能をソフトウェアで実現している以上、バグや不具合が含まれることは避けられません。米国のNISTや国内のJVNといった脆弱性情報と対策方法を掲載しているサイトで検索してみると、複合機やプリンターが影響を受ける脆弱性はいくつも見つかります。しかも複合機メーカーは、自社開発したコードにくわえてオープンソースソフトウェアも広く利用しているので、それらに存在する脆弱性からの影響も受けます。たとえば、2014年に発見された暗号化通信用ソフトウェア OpenSSL の脆弱性 「Heartbleed」や、2021年に発見されたロギングユーティリティLog4jの脆弱性でも、多くのプリンターや複合機が影響を受けました。通常、こうした脆弱性は、ファームウェアの更新で対応しますが、複合機の場合、メーカー担当者の訪問保守による更新しか行えず、タイムリーに修正できないことが少なくありません。ですから、保守を提供する企業とはセキュリティに関する取り決めを詰めておく必要があります。

3. すでに内部に入り込んだ脅威(攻撃者やマルウェア)の対策ができているか

マルウェアに感染したPCが境界の内側に存在していると、複合機やプリンターをターゲットにした活動が行われ、侵害やラテラルムーブメント、情報漏えいが起きる可能性があります。以下は実際に発見・報告されたものです。

  • Cadlespyマルウェアがプリンターの情報とプリンターに送信されたドキュメントを窃取
  • Prikormkaマルウェアがアクセス可能なプリンターの情報を収集
  • Egregorランサムウェアの攻撃者が被害者に身代金を求めるメッセージを大量にプリントアウト

悪意のある関係者(インサイダー)がプリンターや複合機を悪用する可能性も考慮する必要があります。たとえば、USBやネットワークは監視されているのでデジタルデータではなくプリントアウトして情報を持ち出す、印刷して放置されているものから自分の権限では入手できない情報を盗み出す、などが起こり得ます。重要な情報を取り扱う部署の場合、プリンターをあえてネットワークに繋げない、限られたネットワーク内でのみ印刷できるように制限する、個人を識別するセキュリティバッジやパスコードで認証しないと印刷できないようにする、それができない場合は設置場所をあえてオープンなエリアにして抑止力に頼る、などといった物理セキュリティの考慮も必要です。

まとめ

プリンターや複合機は古くからオフィスの必需品でした。リースやレンタルといった契約形態が多く、消耗品の注文や交換が必要なことから、総務などの非IT部門が主体で導入されるケースが多いでしょう。しかし、先に述べたように複合機はコンピューターそのものです。技術的対策の考慮なしに導入・運用はできません。機器が境界の内側にあることを理由に脆弱性を悪用した攻撃の可能性が低いと判断している複合機メーカーもありますが、境界防御だけで攻撃を完全に防ぐことはできません。また、境界内部に侵入した攻撃者やマルウェアを想定した対策をとっていなければ、丸腰も同然です。複合機やプリンターについてもセキュアな環境を構築し、監視と制御を行ってください。総務などの非技術部門と、ITなどの技術部門、そして機器のサービス会社で、役割を分担した責任共有モデルを作り上げることが、現実的な対策となるでしょう。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.