パスワードを忘れた? アカウント作成
12643143 story
情報漏洩

一部の教育機関ではネット接続された複合機等で不適切な設定によりデータ丸見え 52

ストーリー by hylom
まだまだよくある話 部門より
あるAnonymous Coward 曰く、

ネット接続された複合機やプリンターの安全設定が行われていないため、中のデータが見えていた教育機関が多数あったそうだ(朝日新聞の記事1記事2)。朝日新聞の取材を受けて各学校は対象機器のネット接続を遮断した。

ネット接続された印刷機器はPCに次いで情報が蓄積されているが、PCに比べて安全対策が甘い傾向にある。大手企業や有名大学では比較的対策が取られているものの、中小企業や自営業、中堅や地方の大学、高校以下の学校では比較的対策が遅れていると言われている。大学では、専門部署が一律に対策を取るのではなく、研究者の裁量に任されているところもあるため、対策に温度差があるところも多い。他大学の不祥事を受けて対策を取ったものの、機器入れ替え時に設定が行われなかった事例もある。皆様の職場や学校ではきちんと設定されているだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 中小企業や自営業、中堅や地方の大学、高校以下の学校では比較的対策が遅れていると言われている。

    インターネットにつなぐ必要のない機器をインターネットに接続しないというのは、セキュリティ上非常に重要です(パッチあてに必要ならば、その時だけ接続すると良いでしょう)。

    しかし、中小企業等投資促進税制 [nta.go.jp] というものがありまして、

    中小企業税制 [meti.go.jp] によると、

    「デジタル複合機」とは、コピー機能やファックス機能、プリンター機能、スキャナー機能といった複合的な機能を有する事務機器とされていますが、この税制の対象となる「デジタル複合機」は、次の①~③のすべての機能を有するものです。

    1. 紙面を光学的に読み取り、デジタル信号に変換し、色の濃度補正や縦横独 立変倍、画像記憶を行う機能
    2. 外部入力されたデジタル信号を画像情報に変換する機能
    3. 記憶した画像情報を保存・送信・紙面に出力する機能

    また、この税制の適用を受けるためには、これらの3つの機能を有するデジタル複合機が「インターネットに接続された」状態でなければならないとされています。
    この「インターネットに接続された」状態とは、事業に使用する際にそのデジタル複合機がインターネットによるデータの送受信ができるよう外部の回線と現に接続できる状態であることをいいます。

    と、複合機はインターネットに接続しないと税制上不利な扱いを受けるのです。

    勿論、認証をかけてインターネット経由で利用できる機能や利用者を制限しても良いのですが、IT管理者も居ないような中小企業に対して、(本来インターネット接続が不要な場合でも)税制上不利な扱いをされないためだけにインターネット接続を要求するような制度に大きな問題があると思います。

    # にしても、政府はなんでそんなに複合機をインターネットに接続させたいんでしょうかねぇ。
    # 流石に、複合機に仕掛けてあるバックドアを利用したいなんてことは無いとは思いますが。

    • …と思ったら、通達にLANだけじゃダメときっぱり書いてあるんですね。

      http://www.nta.go.jp/shiraberu/zeiho-kaishaku/joho-zeikaishaku/hojin/0... [nta.go.jp]

      42の6-9 措置法規則第20条の2の2第1項第1号において本体と同時に設置することを条件として特定機械装置等に該当する旨の定めのある附属の機器等には、一の計画に基づき本体を設置してから相当期間内に設置するこれらの附属の機器等が含まれるものとする。
      (注) 措置法規則第20条の2の2第1項第2号の規定の適用を受けることができるデジタル複合機とは、事業の用に供する際にインターネットに現に接続されている状態にあるものをいうのであるから、インターネットに接続する機能を有するものであっても、例えば、インターネットに接続されていない社内のLAN設備として設置されるものは、これに該当しないことに留意する。(強調引用者)

      なんの意味があるんだろ。

      親コメント
      • by Anonymous Coward

        条文書いた関係者が
        俺たち IT判ってるんだモんね エヘン
        と、顕示したいだけの様な気がする

        いや、判ってないよ

      • by Anonymous Coward

        「デジタル複合機」としての機能に何の関係もないのがおかしいよな。通達にも、インターネットに繋げて、「何をする」のか書いてないし。
        IT云々の以前の話として、規程としておかしい。起案した人たちは疑問に思わなかったのだろうか。

        • by Anonymous Coward

          複合機メーカから、インターネット経由でのカウンタ確認が主流になるような記載をするように
          要望があったんじゃないかと邪推。一々現地行って、カウンタを確認したくないだろうから。

          • by Anonymous Coward

            邪推じゃないです。要望というより事実上の強制がありました。今のところカウンタの確認と言っていますが、ゆくゆくはメーカー側で統合サービスを展開して、システムごと売る形を狙っているとか。プリンタも全部一括購入で機種統一になりました。

          • by Anonymous Coward

            消耗品の自動配送もやりたいんじゃないですか?
            導入する側も人減らせるし。

            導入当初はカウンター繋げに来るサービスマンの態度がかなり横柄だったりした。
            いきなり穴開けろとか強盗かよ。

      • by Anonymous Coward

        平成17年12月に出た総務省の平成18年度税制改正資料 [soumu.go.jp]を見ると、テレコム・郵政事業関係の改正なんですよね。
        目的としては、「ICT分野の中小・ベンチャー企業が行う戦略的な設備投資を支援することにより、新規事業の創出や企業の高付加価値化を促進し、もって雇用の創出や社会経済の持続的発展を図る」となっていて、電子計算機やソフトウェアと一緒に追加されています。
        要するに、「最新のIT機器に買い替えてください」という制度ですよね。

        そして、出来上がった税制改正の概要 [mof.go.jp]では、「インターネットに接続されたデジタル複合機」となっています。
        また、ソフトウェ

      • by Anonymous Coward

        >事業の用に供する際にインターネットに現に接続されている状態にある
        ということはですよ、
        インターネットに接続された社内のLAN設備に接続されていたとしても、ファイヤーウォールによってインターネットとの通信が一切断たれた状態である場合、
        「インターネットに現に接続されている状態にある」とは言えないということですよ。

    • by Anonymous Coward

      紙幣をコピー/スキャンしようとしたら、ユーリオン [wikipedia.org]を検出して自動通報…と云うのはありそう。

    • by Anonymous Coward

      小規模なネットワークなら大抵はNATで守られてるので、IBは然程気にしなくても問題はないし、
      意図してルーターに穴開けるなら、その過程で外部との接続を意識するのでセキュリティは確保すると思う。

      大学で何も考えずにIPを割り振ったら、それはグローバルIPで特にFWもなかったら外から見えたと予想。
      設置に来たコピー機屋の作業員はNATで守られてるネットワークでしか作業したことはないだろうし、そういう研修しか受けてないかと。
      複合機にグローバルIPを割り振るなんてのは大学ぐらいだと思うので、あまり他では発生しなさそう。

      • by Printable is bad. (38668) on 2016年01月07日 19時00分 (#2945819)

        小規模なネットワークなら大抵はNATで守られてるので、IBは然程気にしなくても問題はないし、
        意図してルーターに穴開けるなら、その過程で外部との接続を意識するのでセキュリティは確保すると思う。

        IPv6 対応の環境の場合、複合機などにも IPv6のグローバルユニキャストアドレスが割り当てられていて、IPv6 で外部からインバウンド接続可能になってるかもしれません。

        IPv6 のパケットをそのままスルーして全部通すようなルーターが意外と出回っているので、IPv6対応の環境が増えてくると被害が増えてくるかも。

        親コメント
      • by Anonymous Coward

        > NATで守られてる
        NATは守るための機能じゃなくて、結果的に外部からアクセスしにくくなるだけね。

        細かいことを気にするやつだと思われるだろうけど、NAT=ファイアウォールと勘違いされるのは後で困るだろうから。

        • by Anonymous Coward

          だからこそ、NATで「守られている」と書いたのでは?
          副次的にNATによって「守られている」ネットワークでしか作業したことがない人間は、能動的にFWで「守らなければ」ならないネットワークに対応できないという指摘でしょう。

          「外部からアクセスしにくくなる」というのは、完全ではなくとも、ノーガードよりも「守られている」状態にあることは確かです。

        • by Anonymous Coward

          > NAT=ファイアウォールと勘違いされるのは後で困るだろうから。
          だれがNAT=ファイアウォールって言っているんですか?
          あなたがファイアウォールを理解していないことによる妄想じゃないですか?

          > NATは守るための機能じゃなくて、結果的に外部からアクセスしにくくなるだけね。
          これもあなたがNATを理解していないことによる妄想
          外部からアクセスする必要があるならその設定をすればいいだけ。
          外部からアクセスする必要があるものをNATに置く必要はない。
          =NATは別に“外部からアクセスしにくくなるだけ”ではない。

    • by Anonymous Coward

      趣旨としては、中小企業にIT導入を促すための税制措置でしょう。で、モノだけ買って形だけにならないようにインターネット接続を要求していると。あとはデジタル複合機を広めて企業のインフラ基盤の整備とかかな?

      企業のIT化を進めること自体が政府によって企業側を監視する狙いか?などはいくらでも考えられるので、ネタとしてはおもしろい。

    • by Anonymous Coward

      国税庁の通達では、別にFWをかますことはNGとされていません。特別控除を受ける際に必要なことは「社外とメールなどのやり取りをしているかどうか」です。
      中用企業であっても、今回の大学の事例のように、(恐らくグローバルIPを割り振って)FWもない場所に設置するようなへまはしないでしょう。

    • by Anonymous Coward

      インターネットに接続しろとは書いてあるがインターネットに公開しろとは書いていないような?

  • by Anonymous Coward on 2016年01月07日 14時14分 (#2945654)

    デフォルト設定はガチガチの安全設定にしておけよ
    # わざわざ後から設定を変更していたなら、ただの馬鹿

    • by Anonymous Coward

      一般ユーザーにはそれが通用しないからだと思われる。
      基本的にセキュリティとかほとんど考えてない。便利で楽で、すぐに使えるのが何よりも優先される。
      少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。

      • by Anonymous Coward

        > 少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。

        だからこそ、デフォルトの状態でセキュリティ上の問題があるものはまずいんじゃないの?

        プリンタなんて買ってきてつなぎさえすれば何の問題もなく使えて当然。

    • by Anonymous Coward

      とあるメーカーにプリンター側で対策するなら機能自体を停止するしかないと言われた。
      そもそも問題になる事自体想定していなかったと思われる。

  • by Anonymous Coward on 2016年01月07日 14時15分 (#2945655)

    じゃないんですか?

  • by Anonymous Coward on 2016年01月07日 14時39分 (#2945674)

    なんで複合機が外部に晒されるようになってんの?
    複合機メーカー側に外部からの閲覧を阻止する措置を取らせるとか、根本的なところで間違ってるようにしか思えないけど。

    • by Anonymous Coward on 2016年01月07日 14時58分 (#2945688)

      自分もそう思うんだけど。

      知ってる複合機だと、トナーの使用状況とかトラブル状況とかを複合機メーカーが監視する都合上、メーカーのサーバーから常に監視する都合で、インターネットに晒そう晒そうとメーカー側が仕向けてるようにすら感じる。外部からの通信出来なくしたりすると、「おたくのステータスが取れないんですけど、何かトラブルですか?」みたいに、数日でサービスマンが飛んで来たりする。

      インターネット経由でファックスだのメールだの送ったりする都合でアクセスしたいんだろうけど。社内ネットワークはともかく、社外のインターネットとの通信には慎重になって欲しいよ。

      親コメント
      • by kamiyama (46596) on 2016年01月07日 22時19分 (#2945917) 日記

        トナーの使用状況とかトラブル状況とかを複合機メーカーが監視する都合上

        こういう目的なら、制御情報とデータ本体分離して、制御情報だけ見えるようにするといいんだろうけど、難しいのかな?

        親コメント
      • by Anonymous Coward

        うちではそれ電話回線でやってるけどな
        向こうから一日一回ぐらいのペースで電話がかかっていているみたい。

        • by Anonymous Coward

          それたぶん印刷カウンタの確認だけだから、メーカのサポートには使えないと思うよ。

      • by Anonymous Coward

        >メーカーのサーバーから常に監視する
        どちらの複合機をお使い?
        うちはRICOHなんだけど、基本ファイアーウォールの内側なので、外からのアクセスではなくて
        何かあったときは、内側(複合機)が、RICOHに対して何らかの情報を送る設定になっています。

        設置の時に、固定IPを割り当ててあげましたから。ちなみにOSはNetBSDでした。

    • by Anonymous Coward on 2016年01月07日 18時40分 (#2945808)

      XEROXはインターネット経由で保守関連の情報取るよ。なのでファイアウォールに穴開けろって言われた。

      親コメント
      • by Anonymous Coward

        プリンタから発呼すれば穴あけなくていいんじゃないかな?
        定時報告じゃあかんのかな。
        本体にでっかいボタンつけといて、問題があったら押して!はできんのかな。

      • by Anonymous Coward

        ファイアーウォールに穴って…バカげた発想でこれだとXEROXの複合機に脆弱性があったら、XEROX複合機使ってるくらいの大企業のデータを引っ張れて、犯罪者が喜ぶだけだと思うんだけど。

    • by Anonymous Coward

      外部公開用ネットと内部用ネットをファイヤーウォールで区切ってなくて、ありあまるグローバルIPを複合機に直接割り振って、外部にも公開なんてことやっていたんじゃないかい。

    • by Anonymous Coward

      その「外部」ってのをどうやって認識するの?
      保守目的のアクセスなら事前にどこからって情報があるから制限できるけど、
      「つないですぐ何も設定せずにつなげる」を要求されると、
      複合機の機能に対するアクセス制限も暗号機能等による内容秘匿も、
      デフォルトで有効にするのは難しいよ。

      ADの下にぶら下げてアクセス制御とかはかなり前から持ってるんだけどね。
      複合機が外から見える問題は既出。どうやって防止するかもアナウンスされてる。
      この記事は受け入れ側がサボったか継承できてないという話。
      外部ゲートウェイで素抜けにしないってのは複合機メーカーのできることじゃない。

      #保守アクセスをIP化するときの中の人だったのでAC

  • by Anonymous Coward on 2016年01月07日 15時03分 (#2945692)

    昔は、そのために電話回線を利用してた。Fax用の回線を使うのが普通。
    で、今はネット接続を利用する。保守会社は電話代が不要になるからね。
    単純にファイヤウォールを入れちゃうと外部から接続できない。
    だから外部に晒すような構成にしちゃう

  • by Anonymous Coward on 2016年01月07日 15時07分 (#2945697)

    無防備にネット接続された機器から情報がダダ漏れしていることや、そういう機器を検索するサイト(shodan等)が存在することも知られていますし、スラドでも過去に何度も話題になっていますよね・・・・・・・
    今回のはどこかに新奇性があるのかな?

    • by Anonymous Coward

      2013年6月の報道で大騒ぎしたのに、まだ対策してない奴らがいると。
      それはこういう層ですというニュースではないかな。

    • by Anonymous Coward

      ネットに関わる人なら知っていた人が多かった事なのに教育機関じゃ対応していなかったという事は
      行政側の情報の伝達や体制、対策に何か問題があったという指摘は出来ますね

  • by Anonymous Coward on 2016年01月07日 17時13分 (#2945767)

    >http://security.srad.jp/story/13/11/08/0410239/
    デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に

    大学でグローバルIPを自動的に割り当てられてしまっている、コピーとかでしょ?
    もし高校とかがあったとしたら、同じネットワーク内にある系列校とかじゃない

    そんなにIP潤沢じゃないから、一般的にはNATつかって、網内はローカルIPだから、問題にならないはず。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...