2つ目の2013年11月に問題となった「FAXやスキャナ」の事例ですが、これはOS上にEWS (Embedded Web Server) と呼ばれる組込ウェブサーバを搭載した複合機からの情報漏えいを指しています。EWSは、設定管理や遠隔保守用に用いられます。
こういった機器は、デバイス出荷後にセキュリティパッチを一切当てていないことが多く、セキュリティホールが放置され、情報漏えいだけでなく攻撃の踏み台になる恐れもあります。
複合機を使ってスキャン、コピー、プリントアウトした文書をネット経由で遠隔から閲覧する専用ツールが出回っていますし、管理用のパスワードはデフォルト設定のままになっている場合が多く、デフォルトパスワードはマニュアルに載っているので簡単にハッキングできてしまいます。
複合機は総務部が管理していることがほとんどですが、上記背景からITやセキュリティ部門によって管理することが望ましく、NISCにより6月にリリースされた「政府機関における情報セキュリティに係る年次報告(平成24年度)」でも「コピー・プリンタ複合機の情報セキュリティ監査対象機器への追 加」という項目が情報セキュリティ対策に係る推奨事例として選定されています。
NISCの報告書ではこの問題への主な対策として「ネットワーク構成の見直しやファイアウォールの利用によるインターネットを介したアクセスの制限を行う」という項目を挙げています。また、管理者パスワードを正しく設定することも重要です。
3つ目の2013年12月に問題となった「日本語入力ソフト」は中国の検索大手「百度」が開発したBaidu IMEと呼ばれる日本語文字入力補助ソフト (日本語IME) のことで、当時このIMEが動作している状態でキーボードから日本語を入力すると、インターネット上にある運営事業者のサーバへ文字列が送信されていたことが問題となりました。
Windows用だけでなく同社が提供しているAndroid版のShimejiというIMEでも同様の問題がありました。ユーザーが設定等によりクラウド上へ文字列を送ることを承諾しているのであれば良いのですが、Baidu IME自体が他のフリーウェアなどにバンドルされて意図せずにインストールしてしまうケースが多く、さらにデフォルトの設定でクラウドへ文字列を送信するようになっていたため、ユーザーがまったく気付くことなく情報を外部へ送ってしまえるようになっていたことが大きな問題です。
IMEはマルウェアやスパイウェアではない一般アプリのため、アンチウイルスソフトで発見して駆除することもできません。NISCの報告書では主な対策として「端末で利用しているソフトウェアの状態を定期的に調査する」「入力内容を送信しないようにIMEを設定する」という項目を挙げていますが、ユーザーの教育や管理者の手間、さらに再度インストールされてしまったときの手間が非常にかかります。
「送信先サーバへの通信を制限、監視する」ことをもう1つの対策として挙げていますが、問題が起きた時にネットワークで当該トラフィックを検知できる仕組みを作っておくと対策の手間が省けます。
