デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に 71
ストーリー by hylom
既視感 部門より
既視感 部門より
Hamo73 曰く、
不適切な設定のデジタル複合機でファックス、スキャナ機能を使用して読み取ったデータが、インターネット上で公開状態になっていると各社が報道している(毎日新聞、読売新聞1、読売新聞2、FNN)。
読売新聞によれば、東京大学医科学研究所、東北大学、琉球大学の3大学で、看護師のアンケート結果や学生の免許証、住民票、健康診断の問診票、奨学金申請書類、答案用紙などが公開されていた。Web版の記事には書かれていないが、紙面記事では地裁から弁護士事務所にファックス送信された訴訟の期日呼び出し状や、歯科医院の診療報酬明細の例も挙げられている。
複合機のID、パスワードを設定せず初期状態のまま使用していたため、外部から容易にアクセスできるようになっていた。取材対象からは「パスワード設定が必要だとは知らなかった」「ファックスやコピーがネットに繋がっているんですか?」「メーカーは危険性について説明してくれなかった」などの声が上がっている。
ネット接続が必要ないユーザーは接続しなければいいのではとも思えるが、法人向け複合機にネット接続機能があるのは、補修や点検のため遠隔操作したいというメーカー側の理由もある。より問題なのは、読売の記事では図に示され、各社のニュースリリース(リコー、富士ゼロックス)にもあるように、ファイアウォールを設定していれば通常は外部からアクセスできないということ。公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。
また、この件は6月にも一部で報道されており、新たな問題ではない(INTERNET Watch、シャープ)。ネットセキュリティについて、ユーザーの意識をどう高めていけばよいのだろうか。
ユーザーの意識は高まらない (スコア:3)
それが出来りゃ苦労しね~よ
リコーは知らんが富士ゼロックスは (スコア:2)
>補修や点検のため遠隔操作したい
富士ゼロックスにはbeatっていう、関係者だけがファイアウォールの内側にアクセスするためのサービスがあるのに。
Re:リコーは知らんが富士ゼロックスは (スコア:1)
保守員が来て現物を保守点検する。たまに「すみません、パーツ取りに帰って、もう一度お伺いします」ってこともあるけど。
Re: (スコア:0)
最低限のファイアウォールさえ削る予算の客がサポート契約を結ぶとは考えにくく・・・・・・
Re: (スコア:0)
>富士ゼロックスにはbeatっていう、関係者だけがファイアウォールの内側にアクセスするためのサービスがあるのに。
beatはFWやらIPS,VPNやらを提供するサービスの総称ですね。
FWの内側へのアクセスには「リモートアクセス」のオプションが必要のようです。
http://www.net-beat.com/service/active/network/ras.html [net-beat.com]
いずれにしてもFWにお金を払いたくない現場には置いてもらえ無さそうですけど・・・。
税金対策も (スコア:2)
中小企業者等が機械等を取得した場合の特別償却の対象資産として、「インターネットに接続されたデジタル複合機」が挙げられている。ネットに接続しないと節税効果がなくなるのではないかと。
http://www.pahoo.org/e-soul/privacy/atwork/atwork-028-01.shtm [pahoo.org]
Re: (スコア:0)
Re: (スコア:0)
減税の対価は機器の持っている情報です。
もっとも大事なところが… (スコア:1)
>公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。
まさにこの指摘の通りで複合機内部の情報どころかNASやらファイルサーバーやらの情報が抜かれてる可能性の方が高いのでは?
FWがないとかそれ以前にそこらの安ルーターでNATかませばポート解放しない限り内部へのアクセスなんて
どかにバックドアでもしかけないと難しいのに…。
それとも今はNATかましてても簡単に外から内側に入れてしまうのですかね?
Re:もっとも大事なところが… (スコア:2, 興味深い)
いや、この記事を理解するためには、旧帝大のIPアドレス事情を考える必要がある。
つまり、こういう研究室ではIPv4は基本的に余ってるから、普通、研究室ごとに数個のグローバルIPが割り当てられており、下手するとPC1台につき1つずつグローバルアドレスが振ってある。逆に、コピー機は各研究室に一台ずつあるわけじゃなくて、廊下や専用の部屋に置いてあって、各教室が共同で使うものだから、ほぼ確実に1台ごとにグローバルなIPアドレスが振ってあると思う。
隣の研究室のホームページですらグローバル越しにアクセスするんだから、コピー機様をローカルネットワークの中に置けるわけがないんだな。
Re:もっとも大事なところが… (スコア:1)
そのうち便器にもIPを振ったりするんですかね
// これ [srad.jp]を連想した(:>^
Re: (スコア:0)
> 下手するとPC1台につき1つずつグローバルアドレスが振ってある。
学部あたりグローバル数個とかにして、残りは返してもらおうよ。
v4のアドレスの空きもできるし
学校側もコピー機大公開とか気にしなくてよくなるから
Win-Winじゃん。
ちょうどいい機会だと思う。
Re: (スコア:0)
この期に及んで「IPv4アドレス取り上げろ」とか冗談でしょ…
「空きもできるし」とか言うけどそれで何日もつと思って?
Re: (スコア:0)
例え1秒で消費されてしまうとしても、誰かの役には立つだろう。
間抜けに与えておいても害悪でしかない。
Re: (スコア:0)
サーバやfirewallでは、IPアドレスを元に、内部からのアクセスを許可しているものが多いわけです。
IPアドレスを返還するには、それらを全て修正することになります。税金で。
また、外部の組織へも周知する必要があるでしょう。
内部、外部にかかわらず、設定の変更を怠った機関が狙われるかも知れません。
Re: (スコア:0)
空きが出ると、またまたまた嘘つき呼ばわりされるから困るんですね。
わかります。
Re: (スコア:0)
大学だし、NATかましてない可能性も...
2年前のコメント
http://it.srad.jp/comments.pl?sid=521300&cid=1896738 [srad.jp]
http://it.srad.jp/comments.pl?sid=521300&cid=1896737 [srad.jp]
Re: (スコア:0)
こういう問題起きるたびに「グローバルIP」が風評被害を受けてるように見えて悲しくなるね。
ファイアウォールで適切に防御されていればグローバルもローカルもセキュリティ面では同等。
Re: (スコア:0)
裏を返すと、ファイアウォールで適切に防御しないと
グローバルIPでの運用はローカルよりも危険。
Re: (スコア:0)
ローカルなアドレスをそのままグローバルに使っちゃって、「192.168.0.1 と 192.168.0.2 は、わたしが使っている IP アドレスですので勝手に使わないでください。」という問題に発展するんですね。
怖い怖い
Re:もっとも大事なところが… (スコア:1)
それはあんたが使っててもいいよ。
ただ、127.0.0.1は俺のだから。
Re: (スコア:0)
NATの内側へ直接外からセッションを張るのは無理です。
ルータにポートフォワードが設定されてるとか、ルータをジャックしてるとかでないと。
内側にトロイを飼ってるとNATだけってのは防護なんて無いも同然になるので、
NAT+ポートフィルタ+IPアドレス別通信許可位はしておきたいですね。
安物ルータでもこのくらいはできるはず。
Re: (スコア:0)
つまり……、
「ファイルサーバにパスワード設定が必要だとは知らなかった」
「NASがネットに繋がっているんですか?」
「メーカーは危険性について説明してくれなかった」
……言ってそう。
Re: (スコア:0)
firewallがあっても、内部の人間からはアクセス出来るわけで、規模がそれなりに大きい所であれば
見せるべきでは無い人にも情報が漏れてしまいます。
なのでちゃんとしたパスワード等の設定が大事なのですが、実際にフィールドに来る複合機の
エンジニアもその辺りの認識が薄いようで積極的に設定するよう薦めません。
(パスワード忘れましたと、呼ばれるのが面倒なのかもしれませんが、、、、)
また、複合機側も利便性のために印刷ジョブを認証の無いwebで確認できるようにしてあったりするのですが、
例えジョブタイトル(印刷の場合多くはファイル名)や印刷者アカウントだけでも他に知られては困る場合もあります。
機種によっては処理中ジョブだけではなく履歴一覧が参照できたりも。。。。。
Re: (スコア:0)
ものによってはWeb経由をパスワード保護したところで、SNMP経由でジョブリストがだだもれ。さらにSNMPのコミュニティ名をpublic以外にすると、ドライバインストーラが動かなくなるおまけ付きです。どうしろっていうの。
Re: (スコア:0)
いや、このタレコミは間違ってると思うよ。
ファイアーウォールがあれば大丈夫ではなくて、ファイアーウォールで設定=ブロックしていたら問題ないとメーカーが言ってるだけなんだよね。
実際にはファイアーウォールはあったはず。
ファイアーウォールを抜けて入れる場所に、複合機納入業者が誰でもアクセスできる状態で設置したって言うのが正しいんじゃないか。
送信可能化権は大丈夫か? (スコア:1)
複製権には教育目的なら~みたいな例外規定もあるが、ネットで不特定多数がアクセス出来る状況に置くと、コピーするものによっては著作権侵害になるぞ……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
頭がお花畑 (スコア:1)
>「ファックスやコピーがネットに繋がっているんですか?」
>「メーカーは危険性について説明してくれなかった」
>などの声が上がっている。
【情報セキュリティ】なんて言葉も知らないのでしょうね
業者の質も低いから (スコア:1)
会社の複合機、デフォルトゲートウェイがデタラメ設定だった。
ネットワーク機能を使う人は同じセグメントに接続しているから問題ないけど。
こういう業者にセキュリティの説明されたら、逆に怖いよ……
notice : I ignore an anonymous contribution.
Re:業者の質も低いから (スコア:2)
> デフォルトゲートウェイがデタラメ設定だった。
それ、わざとやったことがあります。
よその部署にNotePC持ち出して、うっかりデフォルトプリンタに印刷する事例が、複数あったので、
プリンタのDGWを到達不能にして、プリンタがネットワーク外からオフラインになるようにしました。
# 業者「デフォルトゲートウエイの設定はどうしますか?」
# 立会人「適当に設定しておいて」
# 業者「はい、適当に、1.2.3.4 っと」
# なんて会話もありえますけど。
IPAが注意喚起 (スコア:1)
IPAがオフィス機器のセキュリティに関する注意喚起、「管理者パスワード変更を」:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20131111/517225/ [nikkeibp.co.jp]
複合機等のオフィス機器をインターネットに接続する際の注意点:IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/about/press/20131108.html [ipa.go.jp]
# SlashDot Light [takeash.net] やってます。
Re:IPAが注意喚起 (スコア:1)
狙われる複合機、情報漏えい源だけでなくサイバーテロの“踏み台”にも:ITpro
http://itpro.nikkeibp.co.jp/article/COLUMN/20131111/517104/ [nikkeibp.co.jp]
# SlashDot Light [takeash.net] やってます。
hylomさぁ… (スコア:0)
デジタル複合機に蓄積されたデータが丸見えになっている
↓
デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に
「話題に」とかわざわざ2chみたいなタイトルにするのやめなよ
Re: (スコア:0)
そのうち「○○がhylom氏の中で話題に」ってなったりして。
Re: (スコア:0)
だよね
それに「話題に」ってどこで話題になってんだよって感じ
Re: (スコア:0)
新聞各社が報道してるから「との報道」で
いいのにな
話題にだとスレやツイッターから話題拾ってるみたいだ
Re:hylomさぁ…(スコア:-1, 古くて余計なもの) (スコア:0)
♪ちゃっちゃーらっちゃらっちゃー(鬼警部アイアンサイドのテーマ)
「新聞によりますとぉ!」
Re: (スコア:0)
【悲報】をつければ完璧。
知らなかった・・・・・、てそんなもん? (スコア:0)
とすると、別に回線契約して繋いでるんだと思うんだけど。
違うのかな。
回線契約しているなら幾許かの基本料金とかもかかってるだろうに、それを「知らなかった」てどういうこと?
月々数千円ならテキトーに流しちゃうもんなの?
Re: (スコア:0)
Re: (スコア:0)
他のスレ読んで初めてわかった。
学内のネットワークなのにグローバルIPなのですね。
失礼しました。
Re: (スコア:0)
とすると、別に回線契約して繋いでるんだと思うんだけど。
違うのかな。
大学なんかだと、インターネット専用線が研究室まで来ていて、
PCや機器ごとに一個グローバルIP配布して接続したりするんですよ。
特に古い研究室。
そもそも、インターネットって学術系の情報交換システムが前身のひとつですし。
グローバルでオープンな大学 (スコア:0)
素晴らしいね
ファイアウォールを設定していれば・・・ (スコア:0)
LANでもダダ漏れはまずいでしょ。
パスワード保護もないのか。
開き直ってもOK (スコア:0)
Re: (スコア:0)
ゴアとかいう人を思い出した。
ググるなよ、絶対ググるなよ (スコア:0)
海外にはデータが見える複合機を検索するサイトが存在する(http://www.47news.jp/47topics/e/247325.php)
このサイトは見つけられないけれど、複合機のネットワークUIの名称でググルとac.jpが出るわ出るわ
説明書通りに設置しただけ (スコア:0)
何かのコードを何かの穴に入れるように書いてあったので、その通りにやった。
それがどういう意味なのかは知らない。
かつて、どっかのISPで、説明書通りにPCを設定していたら、ISP中でフォルダ共有されちゃった事件ってなかったっけ?
Re:説明書通りに設置しただけ (スコア:1)
かなり前のヤフーBBとか、各地のCATVインターネット接続とかで、各ユーザーの線を収容する一地区の範囲が同一セグメントになっていて、マイコンピュータ画面にヨソのうちのパソコンのパブリックフォルダが見えるようになっていた、なんて話はある。地域内でNATになっているのではなくて、グローバルアドレスをサブネットマスクで分けてDHCPで地区ごとに割り振ると。まだ一般家庭にルーターなどは普及していなくて、ADSLモデムなどを1台のパソコンに直結する時代の話。CATVあたりだと、もともと地域内の双方向コミュニケーションを標榜してスタートした会社も多かったから、案外、「地域のみんなが情報共有」って本気で思っていたのかも。
Re:複合機だけの問題? (スコア:1)
件の複合機が「ネットワーク機器」と認識されていないんじゃ?
昔ながらのスタンドアロンなコピー機やFAXと同じつもりで使ったんだと思うよ。
「スキャンしたものをPCから読めるんだから判れよ!」とか言っても無理だとおもう。