★阿修羅♪ > IT11 > 851.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
複合機が丸見えになる恐れ shodanhq.comを使うと、簡単に複合機の管理画面にアクセスできる
http://www.asyura2.com/09/it11/msg/851.html
投稿者 てんさい(い) 日時 2013 年 11 月 07 日 20:42:19: KqrEdYmDwf7cM
 

http://itpro.nikkeibp.co.jp/article/COLUMN/20120220/382087/

2012/03/06
山崎 文明=ネットワンシステムズ フェロー (筆者執筆記事一覧
出典:日経コミュニケーション 2012年2月号  pp.90-93

 昨今、セキュリティ業界では複合機が話題になることが増えてきた。セキュリティ業界団体Cloud Security Allianceの創設者の一人であるミカエル・サットン氏は、EWS(Embedded Web Server)の危険性を何度となく指摘している。

 EWSというのはネットワーク機器に組み込む形で搭載されるWebサーバーである。複合機やテレビ会議システム、Web監視カメラ、IP電話機など多くの機器が、内部にWebサーバーを搭載している。

図1●狙われる複合機の組み込み型Webサーバー
ほとんどの複合機がEWSを初期設定でオンにしている。システム
[画像のクリックで拡大表示]

 EWSの主な目的は、機器の自動的な構成管理や遠隔地からの保守点検、課金情報の収集などだ。複合機メーカーなどのシステムと通信して、必要な情報をや り取りする。そのため(1)外部からアクセス可能な状態になっている、(2)Webサーバーとしては簡素な構成になっている、という特徴がある。

 実はこれが、「セキュリティ対策の不十分なWebサーバーをインターネット上に公開している」状態を生み出している可能性がある(図1)。

複合機が踏み台にされる

図2●EWSの主要な問題点
業務システムや一般のWebサーバーとは異なり、積極的な管理はまず行われない。それに起因する問題が発生しがちだ。
[画像のクリックで拡大表示]

 EWSがセキュリティ上危険な理由はいくつか挙げられる(図2)。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティパッチ(修正プログラム)を当てていないことが多い」と指摘する。セキュリティホールが放置された状態のEWSを搭載した複合機は、企業ネットワーク内に設置された“トロイの木馬”とさえいえる。

 例えばEWSの多くは、WebサーバーソフトにApache HTTP Server(Apache) を搭載している。Apacheは多数のバグが存在するソフトで、バグが発覚するたびにパッチを配布している。あまりの多さから、「A Patchy Server」(パッチだらけのサーバー)のApacheと呼称されるようになったという冗談があるほどだ。当然、Apacheには常に最新のパッチを当 てておかなければ、簡単にハッキングされる。

 狙われるのはApacheの脆弱性だけではない。Linuxの脆弱性も放置されている可能性が高く、狙い目になる。Apache以外のWebサーバーソ フトを搭載する複合機もあるが、代表的なWebサーバーソフトである「Rom Pager」や「NET-DK」「Virata-EmWeb」「BaseHTTP」には既にクロスサイトスクリプティングなどの脆弱性などが発見されている。

 サットン氏の調査によれば、脆弱性が検出されているEWSの例として「RomPager Ver 4.07」が374万台、「Virata-EmWeb Ver 6.01」で10万台存在するという。

 さらに、宛先情報を窃取される可能性がある点にも注意が必要だ。最近の複合機はメールやインターネットFAXなどに使う宛先情報の登録の手間を減らすため、LDAPサーバーから情報を取得できるようになっている。ここから、アドレス帳情報が外部に漏洩するといった事案が既に発生している。ドメイン管理者のIDが盗まれると、ディレクトリサービスが危険にさらされる可能性がある。

文書が丸見えのケースも

文書が丸見えのケースも

写真1●ハッカー向け検索サイト「SHODAN」を使うとEWSを検索可能
特定の文字列を使って検索すると複合機の管理画面に簡単にアクセスできてしまう。
[画像のクリックで拡大表示]

 複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。“ハッカー御用達”の検索エンジン「SHODAN」(http://www.shodanhq.com/)を使うと、簡単に複合機の管理画面にアクセスできてしまう(写真1)。

 SHODANはオンラインデバイスを機種別、国別に一覧表示するサービスで、トップ画面に「Expose Online Devices」(オンラインデバイスを暴く)との表示があるように、インターネットに接続されているWebカメラや複合機などのデバイスを検索できる。

 メーカー、機種ごとに固有の文字列をSHODANに入力して検索すれば、指定したメーカー、機種のデバイスが国別で何台オンライン状態にあるか分かる。 さらに、その一覧から個別の複合機にアクセスできる。SHODANで検索するだけで、EWS上で動作するWebサイト(複合機の管理画面)のトップページ までたどりつけるのだ。

写真2●複合機のネットワーク設定は簡単に検索可能
エトキ
[画像のクリックで拡大表示]
写真3●複合機の管理画面に入るとスキャンイメージまで丸見えに
メーカーや機種、設定状況によって異なるが、複合機で印刷やスキャンした印刷物をPDF形式などでダウンロードできることがある。
[画像のクリックで拡大表示]

 管理画面では様々な情報を取得できる。ある複合機では、複合機自身のIPアドレスやMACアドレスのほか、プロキシーサーバーやデフォルトゲートウエイのIPアドレスなどが見えてしまう状態だった(写真2)。企業ネットワークの構造を把握できる、攻撃者にとっては“おいしい情報”である。さらに「イメージライブラリ」などの項目を開けば、その複合機でスキャンしたイメージやプリントアウトしたイメージが外部から丸見えになる(写真3)。

 もちろん、これらの情報へのアクセスはパスワードを使って保護できる。しかし筆者が調べた範囲では、大半は保護がなされていなかったり、パスワードがデ フォルト設定のままになっていたりするようだ。デフォルトのパスワードは、「  」(ブランク)、「111111」「123456」「Admin」といっ た冗談のようなものがほとんど。しかも、デフォルトパスワードはオンラインマニュアルに記載されており、誰でも知ることができる。

 複合機の管理画面はGoogle検索でも見つかる。手順は簡単だ。管理画面トップのタイトルに含まれるキーワードを検索するだけでいい。具体的なキーワードはここでは書かないが、検索するとたくさんの複合機の管理画面を見つけられる。

 以上のように、多くの複合機は危険性が放置されている状態にある。複合機やWebカメラは総務部門が主体で導入して、システム部門が関与しないことが多い。システム部門は総務部門と連携して、再度オンラインデバイスの点検を行うことを推奨する。

山崎 文明(やまさき ふみあき)
ネットワンシステムズ フェロー
大手外資系会計監査法人でシステム監査に永年従事。システム監査、情報セキュリティ、個人情報 保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準完全対策」(日経BP社監修)、 「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社 共著)、「システム監査の方法」(中央経済社共著)、「コンティンジェンシー・プランニング」(日経BP社共著)、セキュリティマネジメント・ハンドブッ ク(日刊工業新聞社共著)などがある。ブログも随時更新中。

↑この記事が今から1年半前。

↓この記事が今日

住民票・答案…複合機の蓄積データ、公開状態に
http://headlines.yahoo.co.jp/hl?a=20131106-00001518-yom-sci

読売新聞 11月7日(木)3時1分配信

住民票・答案…複合機の蓄積データ、公開状態に

読売新聞

 東大など3大学で、ファクスやスキャナーなどの複合機で読み取った学生ら延べ264人の個人情報がインターネット上で誰でも閲覧できる状態になっていたことが6日、読売新聞の調査で分かった。

現在販売されている複合機の大半はネットに接続され、初期設定のままだと情報が外部から閲覧できる状態となるが、大学側は「知らなかった」と説明している。専門家は「メーカーは利用者に十分な説明をすべきだ」と指摘している。

情報が公開状態になっていたのは、リコー(東京)、富士ゼロックス(同)、シャープ(大阪)の複合機を使っている東京大医科学研究所や東北大、琉球大の3国立大。

東大医科研では、付属病院の看護師が、血友病の看護に関して答えたアンケート内容や、研修の受講者名のほか、研究員が非常勤講師として採点した東邦大の学生の試験結果など約120人分の個人情報が見られる状態になっていた。

東北大の場合、約20人が所属する研究室の複合機から出ていたのは、学生らの免許証や住民票、健康診断の問診票など。中には、奨学金申請の書類もあり、学生の名前や携帯電話番号、親の就労状況なども記載されていた。

琉球大では、2013年1、2月に実施した期末試験を受けた学生95人分の答案用紙が見える状態になっており、名前や解答、点数が書かれていた。東大と琉球大は「調査中」、東北大は「答えられない」としている。

↑こんなのきっとまだまだたくさんある。↓

 複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。“ハッカー御用達”の検索エンジン「SHODAN」(http://www.shodanhq.com/)を使うと、簡単に複合機の管理画面にアクセスできてしまう(写真1)。

 

  拍手はせず、拍手一覧を見る

フォローアップ:

この記事を読んだ人はこんな記事も読んでいます(表示まで20秒程度時間がかかります。)
★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
  削除対象コメントを見つけたら「管理人に報告する?」をクリックお願いします。24時間程度で確認し違反が確認できたものは全て削除します。 最新投稿・コメント全文リスト

 次へ  前へ

▲上へ      ★阿修羅♪ > IT11掲示板

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。

▲上へ      ★阿修羅♪ > IT11掲示板
 
▲上へ       
★阿修羅♪  
この板投稿一覧