http://www.asyura2.com/09/it11/msg/851.html
Tweet |
http://itpro.nikkeibp.co.jp/article/COLUMN/20120220/382087/
昨今、セキュリティ業界では複合機が話題になることが増えてきた。セキュリティ業界団体Cloud Security Allianceの創設者の一人であるミカエル・サットン氏は、EWS(Embedded Web Server)の危険性を何度となく指摘している。
EWSというのはネットワーク機器に組み込む形で搭載されるWebサーバーである。複合機やテレビ会議システム、Web監視カメラ、IP電話機など多くの機器が、内部にWebサーバーを搭載している。
EWSの主な目的は、機器の自動的な構成管理や遠隔地からの保守点検、課金情報の収集などだ。複合機メーカーなどのシステムと通信して、必要な情報をや り取りする。そのため(1)外部からアクセス可能な状態になっている、(2)Webサーバーとしては簡素な構成になっている、という特徴がある。
実はこれが、「セキュリティ対策の不十分なWebサーバーをインターネット上に公開している」状態を生み出している可能性がある(図1)。
複合機が踏み台にされる
EWSがセキュリティ上危険な理由はいくつか挙げられる(図2)。サットン氏は、「メーカーは複合機を出荷した後、全くEWSにセキュリティパッチ(修正プログラム)を当てていないことが多い」と指摘する。セキュリティホールが放置された状態のEWSを搭載した複合機は、企業ネットワーク内に設置された“トロイの木馬”とさえいえる。
例えばEWSの多くは、WebサーバーソフトにApache HTTP Server(Apache) を搭載している。Apacheは多数のバグが存在するソフトで、バグが発覚するたびにパッチを配布している。あまりの多さから、「A Patchy Server」(パッチだらけのサーバー)のApacheと呼称されるようになったという冗談があるほどだ。当然、Apacheには常に最新のパッチを当 てておかなければ、簡単にハッキングされる。
狙われるのはApacheの脆弱性だけではない。Linuxの脆弱性も放置されている可能性が高く、狙い目になる。Apache以外のWebサーバーソ フトを搭載する複合機もあるが、代表的なWebサーバーソフトである「Rom Pager」や「NET-DK」「Virata-EmWeb」「BaseHTTP」には既にクロスサイトスクリプティングなどの脆弱性などが発見されている。
サットン氏の調査によれば、脆弱性が検出されているEWSの例として「RomPager Ver 4.07」が374万台、「Virata-EmWeb Ver 6.01」で10万台存在するという。
さらに、宛先情報を窃取される可能性がある点にも注意が必要だ。最近の複合機はメールやインターネットFAXなどに使う宛先情報の登録の手間を減らすため、LDAPサーバーから情報を取得できるようになっている。ここから、アドレス帳情報が外部に漏洩するといった事案が既に発生している。ドメイン管理者のIDが盗まれると、ディレクトリサービスが危険にさらされる可能性がある。
文書が丸見えのケースも
複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。“ハッカー御用達”の検索エンジン「SHODAN」(http://www.shodanhq.com/)を使うと、簡単に複合機の管理画面にアクセスできてしまう(写真1)。
SHODANはオンラインデバイスを機種別、国別に一覧表示するサービスで、トップ画面に「Expose Online Devices」(オンラインデバイスを暴く)との表示があるように、インターネットに接続されているWebカメラや複合機などのデバイスを検索できる。
メーカー、機種ごとに固有の文字列をSHODANに入力して検索すれば、指定したメーカー、機種のデバイスが国別で何台オンライン状態にあるか分かる。 さらに、その一覧から個別の複合機にアクセスできる。SHODANで検索するだけで、EWS上で動作するWebサイト(複合機の管理画面)のトップページ までたどりつけるのだ。
管理画面では様々な情報を取得できる。ある複合機では、複合機自身のIPアドレスやMACアドレスのほか、プロキシーサーバーやデフォルトゲートウエイのIPアドレスなどが見えてしまう状態だった(写真2)。企業ネットワークの構造を把握できる、攻撃者にとっては“おいしい情報”である。さらに「イメージライブラリ」などの項目を開けば、その複合機でスキャンしたイメージやプリントアウトしたイメージが外部から丸見えになる(写真3)。
もちろん、これらの情報へのアクセスはパスワードを使って保護できる。しかし筆者が調べた範囲では、大半は保護がなされていなかったり、パスワードがデ フォルト設定のままになっていたりするようだ。デフォルトのパスワードは、「 」(ブランク)、「111111」「123456」「Admin」といっ た冗談のようなものがほとんど。しかも、デフォルトパスワードはオンラインマニュアルに記載されており、誰でも知ることができる。
複合機の管理画面はGoogle検索でも見つかる。手順は簡単だ。管理画面トップのタイトルに含まれるキーワードを検索するだけでいい。具体的なキーワードはここでは書かないが、検索するとたくさんの複合機の管理画面を見つけられる。
以上のように、多くの複合機は危険性が放置されている状態にある。複合機やWebカメラは総務部門が主体で導入して、システム部門が関与しないことが多い。システム部門は総務部門と連携して、再度オンラインデバイスの点検を行うことを推奨する。
ネットワンシステムズ フェロー
↑この記事が今から1年半前。
↓この記事が今日
住民票・答案…複合機の蓄積データ、公開状態に
http://headlines.yahoo.co.jp/hl?a=20131106-00001518-yom-sci
読売新聞 11月7日(木)3時1分配信
東大など3大学で、ファクスやスキャナーなどの複合機で読み取った学生ら延べ264人の個人情報がインターネット上で誰でも閲覧できる状態になっていたことが6日、読売新聞の調査で分かった。
現在販売されている複合機の大半はネットに接続され、初期設定のままだと情報が外部から閲覧できる状態となるが、大学側は「知らなかった」と説明している。専門家は「メーカーは利用者に十分な説明をすべきだ」と指摘している。
情報が公開状態になっていたのは、リコー(東京)、富士ゼロックス(同)、シャープ(大阪)の複合機を使っている東京大医科学研究所や東北大、琉球大の3国立大。
東大医科研では、付属病院の看護師が、血友病の看護に関して答えたアンケート内容や、研修の受講者名のほか、研究員が非常勤講師として採点した東邦大の学生の試験結果など約120人分の個人情報が見られる状態になっていた。
東北大の場合、約20人が所属する研究室の複合機から出ていたのは、学生らの免許証や住民票、健康診断の問診票など。中には、奨学金申請の書類もあり、学生の名前や携帯電話番号、親の就労状況なども記載されていた。
琉球大では、2013年1、2月に実施した期末試験を受けた学生95人分の答案用紙が見える状態になっており、名前や解答、点数が書かれていた。東大と琉球大は「調査中」、東北大は「答えられない」としている。
↑こんなのきっとまだまだたくさんある。↓
複合機を使ってスキャンやコピー、プリントアウトした文書が、外部から見えてしまうという問題もある。“ハッカー御用達”の検索エンジン「SHODAN」(http://www.shodanhq.com/)を使うと、簡単に複合機の管理画面にアクセスできてしまう(写真1)。
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。