ネットワークに接続されたプリンタから、任意のファイルを読み出すことができるセキュリティ上の問題が発表された。防止するには、メーカーからソフトウエアをダウンロードしてバージョンアップを行う必要がある。国内で発売されているプリンタ含まれているが、それだけで十分な対策とはいえない。
該当機種でなくとも確認すべし
今回、発覚したプリンタは、HP Color LaserJet 2500 and 4600 である。ネットワーク経由でプリンタ内のファイルにアクセスされ、読まれる危険性がある。詳細はHPのホームページに報告されているので読んで欲しい。同報告は、米国のHPに掲載されており、4月2日付けとなっている。しかし、HPの日本語のサポートに関するホームページには未だ公開されていない(4月8日現在)。
米国だけの問題ならいいが、国内の製品リストには、HP Color LaserJet 4600が載っている。日本で提供されているプリンタのソフトウエアなら大丈夫かもしれないが、身近に該当機種がないので、未確認だ。自分が使用している機種で安心するのは未だ早い!使用プリンタの関連ソフト(ドライバソフト、ユーティリティソフト)はメーカーのホームページに置かれていることが多い。今すぐチェックし、最新のバージョンであることを確認することをお勧めする。
UNIXを搭載したネットワークプリンタの脆弱性
もう生産中止になったあるネットワークプリンタは、ワークステーション+プリンタから構成されていた。内部に小型ワークステーションを搭載していた。このため、自作の文字フォントを追加することでき、とても便利であったが、セキュリティはボロボロだった。なんといっても、ネットワークを経由して送られた印刷データがプリンタ内部に一時的に蓄積される段階で、容易に閲覧できたのである。つまり、社員は社長のPCにはアクセスできなくとも、社長がプリンタに出力する内容を閲覧できるのだ。賢いシステム管理者はプリンタメーカーが対処するまで、そのまま放置せず、サブネット単位でネットワークを再構成して経路制御をかけて対応した。これは昔の話だが、このような経験が積み重ねていけば、情報セキュリティの脆弱なニオイに敏感になる。
プリンタだけの問題だろうか
話を現在に戻そう。プリンタへ出力するファイル内容が閲覧される問題は、プリンタに限定されない。例えば、出力機能を持っていないプリントサーバーにも同じ問題が潜在している可能性がある。このような不正に情報をアクセスするハッキングテクニックは、ワイヤータッピングに似ている。
ワイヤータッピングとは、電話線にクリップを挟んで情報を引き出す技法で、電話盗聴の物理的なハッキング方法である。電話機の近くでは発見されるので、少し離れた場所にある交換装置で実施される。もちろん法律に違反する。今回のように、プリンタやプリンタサーバーから情報を盗む場合はどうなのか。パソコンが苦手な人に話してみれば、情報セキュリティーについて考えるキッカケになるだろう。
購入する前にチェックせよ
最近は、プリンタ、スキャナ、複写機、FAX機能を一台にまとめた複合機が登場している。複合機にはFAX用に電話線が接続され、社内ネットワークからネットワークケーブルが接続されている。そしてスキャナから入力された情報は、内部のハードディスクに格納されている。ある方法を使えば、電話回線や社内ネットワークから複合機に侵入し、ハードディスクから消去されたスキャナデータを復元させ、ネットワーク経由または電話回線を経由して外部に持ち出すことができる。そんな脆弱な複合機を選ぶのは、情報システム部ではなく、総務部だったりする。情報セキュリティ責任者は、複合機にも注目した方がいい。
そこで、私が関与している企業では、複合機を購入する際に、技術適合に基づくセキュリティ診断を購入前に実施して、合格した複合機を購入している。また、ある業界は監督省庁から購入する複合機、複写機を購入する際に条件が指定されており、安全を確保する方法がとられている。法的な拘束力はないが、ガイドライン的な位置づけで、結果的に従っている。
セキュリティのレベルを上げれば、費用もアップする。使う目的、取り扱う情報、利用者、設置場所を考慮すれば、安いプリンタで十分なことも多い。セキュリティを気にするあまり、無理に高価なプリンタや複合機を買って、後で高い保守費用で後悔することだけは避けたい。そnためには、買う前に吟味する。これしかない。
※このエントリはZDNETブロガーにより投稿されたものです。朝日インタラクティブ および ZDNET編集部の見解・意向を示すものではありません。
