宮崎大学や浜松大学などでコピーやファックスで日常的に利用している複合機から情報漏えいが発生したとのニュースが発表されています。
※出典:Yahooニュース 利便性の陰で薄まる危機意識 複合機などデータ丸見え
これは朝日新聞の取材で明らかになったもので今日の朝日新聞でも大きく取り上げられています。
このニュースによると宮崎大学の場合は複合機の入替でファイヤーウォールの対象から外れてしまったとのこと。
う~ん、これどういう意味なんだろう。。
通常ファイヤーウォールはインターネットと内部LANの間に設置して外部からの脅威を守る役割なのに意識しないと守られないとは??
そもそも複合機情報漏えい問題とは
約2年前に東京大学で起こった事件が問題となったのだが複合機でコピーをとったりFAXをしたりした画像データがインターネット上で丸見えになっているという問題です。
ではなぜこのような状況になるのでしょうか?
原因は幾つかあります。
- 複合機でとるコピーやFAXは仕組み的に複合機内に電子的に保存される。
- 複合機はメンテナンス用に簡易的なWEBサーバー機能を持っている
- 複合機は印刷用にLAN接続して利用するのが一般的な利用方法
という状況が前提としてあってしかもインターネット接続で業者と接続するとトナーの残量管理や遠隔メンテナンスなどのサーバビスを受けられるというのがあります。
ここが曲者でインターネット上なので特別な対策を取らない限りIPアドレスさえわかれば誰でもアクセス出来てしまうという問題が有ります。
今回の件でも管理者用のパスワード設定すらされていなかった様で簡単に外部の人間が見ることが出来たようです。
しかも東京大学のときは「DEFCON」というハッキンググループが作成したWEBサービスが有ってそのサービス上で簡単に検索なども利用でき自由に見ることが見ることが出来る様になっていました。
管理人が管理していた企業ネットワーク上でも東京大学の事件前は複合機の業者の営業がトナー管理やメンテナンスが出来るので複合機にインターネット上からアクセスさせて欲しいと総務の担当に平気で依頼していました。
勿論管理人は絶対ダメです。と丁重にお断りしていたのですが東京大学の件のおかげで総務部門にも危険性が認識で来たようでそんな依頼は来なくなりました。
ではどうしたら良いか?
恐らくITを少し勉強した人間ならそもそも複合機の仕組みに危険性を感じると思います。
そう言えば、複合機のftpサービスを立ち上げたいとか言ってきた部門が有って説得するのに苦労した覚えがあるな。
基本的な対策としてはネットワークに接続する機器はIT管理者に確認をとってから接続設定を実施するというのが大事だと思います。
今回の事例でもIT管理者に通知なく入れ替え作業を実施してこのような状況になったようです。
ただ、今回の事例では通知しなかったのでファイヤーウォールの対象から外れたとの記載が有ったのですがこれがもし言葉のままならネットワーク設計にも問題が有るのかもしれないですね。
ファイヤーウォールは通常基本必要なもの以外は接続できないようにするのが一般的な考え方なのでちょっと問題が有るのかもしれないですね。
ただ、根本的な問題は複合機の業者に問題が有る様な気がします。
そう考えているのは
管理者パスワードの設定といことは複合機の入替時に設定を強く勧めていない事が想像できますし、そもそもパスワード設定を必須にしていないのは大きな問題ではないかと思います。
また、もしかしたら今は改善されているかもしれないですが管理者パスワードの設定がある業者でも初期値は機種名とかマニュアルに書いてある業者が散見されていてインターネット上で検索するとすぐにパスワードが判ってしまう場合もあります。
そもそも現在のインターネットはベーシック認証(ユーザーとパシワード)はセキュリティ レベルが低いので危険だという認識なので重要な機密情報を扱う可能性がある複合機は特に注意する必要があります。
IT担当者のいない中堅企業の人の対策
そんなことを言ってもうちにはITの専門家もいないし難しくて良く判らないし、。
外部の業者を毎回呼んでいたらお金が掛かって仕方ないという方も居られると思います
そんな場合は以下のような対策を立てましょう。
対策1 インターネットから複合機へのアクセスを止める。
IPアドレスをインターネットにアクセスできるアドレスの範囲とアクセスできないアドレスの範囲に分けましょう。
例えば
グループ1:192.168.0.1 ~ 200(パソコンなどインターネットを利用する危機に割り振り)
グループ2:192.168.0.201 ~ 256(複合機などのインターネットにアクセスさせない機器に割り振り)
※IPアドレスの付与は機器ごとに固定で設定する必要が有ります。
この設定自体は業者に行ってもらう必要がありますが一度設定してしまえばルールに守っている限り安全です。
設定をして貰う内容は
ファイヤーウォール:上記のルールのようにグループ2はインターネットを利用できないように設定
この方法のメリット
・一度設定してしまえばルールを守っている限り設定変更の必要が無い。
この方法のデメリット
・機器ごとのIPアドレスの設定がDHCP(自動割り振り)の機能が利用できないので多少煩雑
・メーカーのリモートメンテナンスのサービスが受けられない。
対策2 そもそも複合機のネットワーク機能を有効にしない。
パソコンからの印刷機能は必須なのでWEBサービスやFTPサービスなどの機能は全て無効にする。
じつはこれだけだとインターネットからはアクセスできるので完全に安全というわけではありませんがかなりリスクを軽減できると思います。
この方法のメリット
・複合機だけの設定なので複合機の業者だけで設定が完結。
・パソコンなどの設定にはDHCP(自動割り振り)が利用できる。
この方法のデメリット
・メーカーのリモートメンテナンスのサービスが受けられない。
・複合機入替時などに誤って機能を有効にしまうと気づかないうちにリスクが発生
管理人のお勧め
正直に申し上げるとIT専任がいるような企業ではこれとは別の対策を取る場合が多いと思いますが設定や運用が煩雑になるので今回はご紹介しません。
今回ご紹介した方法だと実は対策1と対策2の両方を行うのが良いのではないかと思います。
トナーの残量管理は在庫を少し持っていれば済む問題ですし、メンテナンスも複合機業者は実機のところまで来なくても確認出来るというメリットはありますが基本定期メンテナンスだけでも十分に運用できると思います。
それに物理的に故障が発生した場合は何れにしても技術員の人がオンサイトで修理する必要がありますのでリスクをとってまで選ぶ必要はないのではないかと思います。
コメント