ファックスやスキャナーなど複数の機能を搭載したプリンタ、いわゆる複合機からの情報漏えい問題を複数のメディアが大きく報じている(関連記事:複合機からの情報漏洩でメーカーが注意喚起、「メーカーの対応に問題も」と専門家)。こうした攻撃は技術的には目新しい脅威ではなく、古くからあるIT環境に対するマネジメントが抱える課題が顕在化したものといえる。今回は、そうした視点からこの背景や今後の展開を考えてみたい。
総務部門や庶務部門の所管である複合機が狙われる
筆者は、この問題に対して日経コミュニケーション2012年2月号に「複合機が丸見えになる恐れ」と題する記事を投稿した。技術的な脅威についてはこの記事に詳しく解説したので、関心のある方はそちらを読んでいただきたい。
図1●SHODANのトップページ
[画像のクリックで拡大表示]
この記事で説明したようにオンラインデバイスを機種別、国別に一覧表示する「SHODAN」と呼ぶ検索エンジンを使うと、インターネットに接続されているWebカメラや複合機などのデバイスを検索できてしまう(図1)。複合機の情報が外部からどのように見えるかを確認できるので、自己防衛に役立ててほしい。
技術的対策に関しては一連の報道を受けて独立行政法人情報処理推進機構(IPA)が、2013年11月8日に「複合機のオフィス機器をインターネットに接続する際の注意点」と題したプレス発表をした(関連記事:IPAがオフィス機器のセキュリティに関する注意喚起、「管理者パスワード変更を」 )。IPAが公開している技術的な対策は、
ネットワークでの対策として
| 【対策1】 | 必要性がない場合には、オフィス機器を外部ネットワーク(インターネット)に接続しない。 |
| 【対策2】 | 外部ネットワークとオフィス機器を接続する場合には、原則ファイアウォールを経由させ、許可する通信だけに限定する。 |
また、オフィス機器(複合機側)での対策として
| 【対策3】 | オフィス機器の管理者パスワードを出荷時のものから変更する。 |
| 【対策4】 | オフィス機器のアクセス制御機能を有効にし、データアクセス時にID、パスワード等の認証を求める運用にする。 |
という4つの対策を推奨している。
