情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年3月5日、キヤノン製デジタル複合機とレーザービームプリンターに脆弱(ぜいじゃく)性が見つかったことを明らかにした。内蔵するFTPサーバー機能が、他のコンピューターへの「ポートスキャン」などに悪用される恐れがあるという。
脆弱性が見つかったのは、デジタル複合機の「Color imageRUNNER」「imageRUNNER」「imagePRESS」各シリーズ、およびレーザービームプリンター(LBP)シリーズ。これらの製品には、FTPで印刷要求を受け付ける「FTP印刷」機能がある。同機能を実現するために内蔵されているFTPサーバーを悪用される恐れがあるというのが、今回の脆弱性。
第三者は同機能を経由して、別のサーバーやネットワーク機器にアクセスできてしまうという。つまり、踏み台にすることが可能。例えば、サーバーの設定状況などを調べるポートスキャンの踏み台にされる可能性がある。アクセスされたサーバーからは、踏み台にされたプリンターなどがポートスキャンをかけているように見える。
なお、プリンターやデジタル複合機自身に不正侵入される恐れはない。今回の脆弱性を悪用されても、対象製品を乗っ取られたり、内部の情報を盗まれたりする危険性はない。
対策は、FTP印刷機能の設定を変更すること。FTP印刷を使っていない場合には同機能を無効にする。使っている場合には、ユーザー認証を行うようにする。具体的な設定手順については、キヤノンが公開する情報に記載されている。
