ファックスなど、もはや時代遅れのように感じるかもしれないが、企業では未だによく使われている。
企業や不動産会社は、顧客の署名がすぐに必要な文書の送受信に、ファックスを使うかもしれない。司法に関する業務の現場でもファックスでのやりとりは多い。そしてヘルスケア組織も、患者データを「医療保険の携行性と責任に関する法律(HIPAA)」のプライバシに関する規定に準拠させなければならないため、文書のやり取りであえてファックスを選ぶ場合があるだろう。
2015年に実施された調査によると、世界で現在使用されているファックスは約4630万台にのぼり、そのうち1700万台が米国で利用されているという。
世界中で多くのITベンダーやテクノロジ大手、サイバーセキュリティの研究者らが、モバイル機器、オペレーティングシステム、ブラウザなどの最新技術が抱えるセキュリティ脆弱性にパッチを施し、問題解決に勤しむなか、旧式技術は図らずもなおざりにされ、サイバー犯罪者に攻撃の糸口をもたらしている。
ラスベガスで開催された「DEF CON 26」で米国時間8月12日、Check Pointのマルウェア研究チーム主任であるYaniv Balmas氏とセキュリティ研究者のEyal Itkin氏が、ファックスのセキュリティにおける発見を発表した。
具体的には、オールインワンプリンタシリーズの「HP Officejet Pro 6830」と「HP OfficeJet Pro 8720」にあるセキュリティの脆弱性を取り上げている。
ファックス番号は、企業のウェブサイトを閲覧して、あるいは会社に直接教えてもらって容易に入手できるが、この番号さえあればバグを悪用できるという。攻撃者は、細工をした悪意のある画像ファイルを狙った相手に送信すればよい。
今回発見された脆弱性には、スタックバッファオーバーフローの脆弱性が含まれ、リモートコード実行を誘発する。
研究者らによると、ランサムウェア、仮想通貨の不正採掘を行うコインマイナー、監視ツールといったマルウェアをコード化して、画像ファイルに埋め込めるという。そして通信プロトコルの脆弱性を突かれたファックスは、マルウェアのペイロードを復号化し、メモリにアップロードする。
マルウェアがメモリに読み込まれ、ファックスがネットワークに接続されていれば、悪意のあるコードはその他のシステムにも感染と被害を広げ、スパイ行為、サービス中断、情報の漏洩などを引き起こす恐れがある。
Check Pointは発見したこの脆弱性をHPに報告済みだ。HPはそれに対応して、ファームウェアパッチを開発して公開している。
研究者チームは、「このプロトコルは、多数のベンダーのファックスやマルチ機能プリンタのほか、fax2emailなどのオンラインファックスサービスで使用されているため、これらも同じ手法の攻撃を受ける可能性がある。この新たな手口は、社内で放置されているファックスが原因で、組織のネットワーク全体が攻撃対象になったり、機密情報が漏洩したりする可能性があることを認識していない組織にとって、深刻な脅威になる」と警告している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
