ブラザーのプリンターの多くのモデルに、設置済みの場合はファームウェア更新では完全には修正できない、セキュリティ上の深刻な脆弱性が存在することが判明した。これはRapid7が2025年5月に最初に発見し、6月25日に公表したもので、プリンターのシリアル番号を知っている、または特定できる攻撃者が、初期値の管理者パスワードを生成できてしまうという、パッチでは修正できない脆弱性だ。
そう、ここで言う「管理者パスワード」とは、工場出荷時に設定され、多くの人がそのまま変更していないパスワードのことだ。ただし「吉報」もあり、この初期値のパスワードを今すぐ変更すれば、自衛が可能だ。
脆弱性の詳細と深刻性
Rapid7のゼロデイ調査により、ブラザー製のプリンター、スキャナー、ラベルライターの689機種に加え、富士フイルム、東芝テック、リコー、コニカミノルタの59機種に、合計8件のセキュリティホールが見つかった。うち7件はファームウェアの更新で完全に修正できる。しかし、重大な脆弱性である「CVE-2024-51978」は、すでに家庭や職場に設置されている機器の場合は、ファームウェアで修正ができない。
CVE-2024-51978の深刻度はCVSSスコア9.8の「Critical(緊急)」とされている。攻撃者に一度シリアル番号を知られてしまうと、パスワードを割り出されて完全な権限でログインされてしまい、さまざまな悪事を実行される危険性がある。
- 「CVE-2024-51977」
- 「CVE-2024-51979」
- 「CVE-2024-51980」
- 「CVE-2024-51981」
- 「CVE-2024-51982」
- 「CVE-2024-51983」
- 「CVE-2024-51984」
ブラザーの場合、ファームウェアはブラザーのサポートページを参照し、「ファームウェア更新ツール」を使用してバージョンアップできる。富士フイルム、東芝テック、リコー(英語版)、コニカミノルタからも同様に、対象となるモデルについてセキュリティ勧告とファームウェアが公開されている。
残る脆弱性(CVE-2024-51978)については、遡及的にファームウェアで修正することはできない。ブラザーにできるのは、生産ラインを更新し、今後出荷するプリンターについては工場出荷時のパスワードを予測不可能なものにすることだけだ。というわけで、影響を受けるプリンターをすでに所有している人は、管理者パスワードを今すぐ初期値から変更する必要がある。このパスワード変更については、「ウェブブラウザーによる設定」メニューから実施できる。
提供:Brother / Elyse Betters Picaro / ZDNET
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
