HOME コラム一覧 知って得するセキュリティのはなし  その158

知って得するセキュリティのはなし  その158

post_visual

京セラ複合機に情報漏えいの脆弱性…サポート連絡によるファームウェア更新を

1.このニュースをざっくり言うと

- 4月5日(日本時間)、京セラ子会社の京セラドキュメントソリューションズ社(以下・京セラDS)より、同社製の複合機に情報漏えいの脆弱性(CVE-2022-1026)が存在すると発表されました。
- 脆弱性の悪用により、機器へのログイン権限がない外部の攻撃者が、機器に登録されているアドレス帳・ユーザー名・パスワード等の情報を不正に取得可能とされています(同11日にはJPCERT/CCからも注意喚起が出されています)。
- 対象機種は、カラー・モノクロ複合機TASKalfa 55種、同ECOSYS 5種、およびプロダクションプリンターTASKalfa Pro 2機種の、計62機種となるとのことです(4月19日現在)。
- 京セラDS社では保守実施店のカスタマーエンジニアによるファームウェアの更新適用を行うとしており、その他回避策として「ファイアウォールなどで保護された環境の中での利用」「プライベートIPアドレスの使用」を挙げています。

2.執筆者からの所感等

- 脆弱性は3月の時点でセキュリティスキャナー等を提供するRapid7社の技術者によって発見されていた模様で、被害を受ける情報には極めてセンシティブなものも含まれており、該当するすべての機器においてファームウェアの更新は必須となるでしょう。
- 複合機やNASあるいはいわゆるIoT機器においては、機器自身やルーターで有効になっていたUPnPによって外部からの接続が可能となるよう自動的に設定されるケース(さらには管理画面へのアクセスまで可能になっている可能性)もあり、そういった状態になっている機器を探し出す「SHODAN」「Censys」等のサーチエンジンも存在します。
- 機器自体の安全な設定やUTMの設置等によるアクセス遮断のための対策を実行した上で、依然外部からアクセス可能な状態となっていないか、第三者機関の診断や、場合によっては前述のサーチエンジンによってもポートフィルタリング状況をチェックすることが重要となるでしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンサービスドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、の運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし  その157

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2022/img/thumbnail/img_36_s.jpg
- 4月5日(日本時間)、京セラ子会社の京セラドキュメントソリューションズ社(以下・京セラDS)より、同社製の複合機に情報漏えいの脆弱性(CVE-2022-1026)が存在すると発表されました。- 脆弱性の悪用により、機器へのログイン権限がない外部の攻撃者が、機器に登録されているアドレス帳・ユーザー名・パスワード等の情報を不正に取得可能とされています(同11日にはJPCERT/CCからも注意喚起が出されています)。- 対象機種は、カラー・モノクロ複合機TASKalfa 55種、同ECOSYS 5種、およびプロダクションプリンターTASKalfa Pro 2機種の、計62機種となるとのことです(4月19日現在)。- 京セラDS社では保守実施店のカスタマーエンジニアによるファームウェアの更新適用を行うとしており、その他回避策として「ファイアウォールなどで保護された環境の中での利用」「プライベートIPアドレスの使用」を挙げています。
2022.04.27 16:04:26