パスワードを忘れた? アカウント作成
10176216 story
ネットワーク

デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に 71

ストーリー by hylom
既視感 部門より
Hamo73 曰く、

不適切な設定のデジタル複合機でファックス、スキャナ機能を使用して読み取ったデータが、インターネット上で公開状態になっていると各社が報道している(毎日新聞読売新聞1読売新聞2FNN)。

読売新聞によれば、東京大学医科学研究所東北大学琉球大学の3大学で、看護師のアンケート結果や学生の免許証、住民票、健康診断の問診票、奨学金申請書類、答案用紙などが公開されていた。Web版の記事には書かれていないが、紙面記事では地裁から弁護士事務所にファックス送信された訴訟の期日呼び出し状や、歯科医院の診療報酬明細の例も挙げられている。

複合機のID、パスワードを設定せず初期状態のまま使用していたため、外部から容易にアクセスできるようになっていた。取材対象からは「パスワード設定が必要だとは知らなかった」「ファックスやコピーがネットに繋がっているんですか?」「メーカーは危険性について説明してくれなかった」などの声が上がっている。

ネット接続が必要ないユーザーは接続しなければいいのではとも思えるが、法人向け複合機にネット接続機能があるのは、補修や点検のため遠隔操作したいというメーカー側の理由もある。より問題なのは、読売の記事では図に示され、各社のニュースリリース(リコー富士ゼロックス)にもあるように、ファイアウォールを設定していれば通常は外部からアクセスできないということ。公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。

また、この件は6月にも一部で報道されており、新たな問題ではない(INTERNET Watchシャープ)。ネットセキュリティについて、ユーザーの意識をどう高めていけばよいのだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • それが出来りゃ苦労しね~よ

  • >補修や点検のため遠隔操作したい

    富士ゼロックスにはbeatっていう、関係者だけがファイアウォールの内側にアクセスするためのサービスがあるのに。

    •  リコーには@Remoteという、機械の状態を自動的に保守サービス会社に通知するサービスがあるが、その逆はない。
       保守員が来て現物を保守点検する。たまに「すみません、パーツ取りに帰って、もう一度お伺いします」ってこともあるけど。
      親コメント
      • by Anonymous Coward
        どっちにしろ無償のサービスではないでしょう。

        最低限のファイアウォールさえ削る予算の客がサポート契約を結ぶとは考えにくく・・・・・・
    • by Anonymous Coward

      >富士ゼロックスにはbeatっていう、関係者だけがファイアウォールの内側にアクセスするためのサービスがあるのに。

      beatはFWやらIPS,VPNやらを提供するサービスの総称ですね。
      FWの内側へのアクセスには「リモートアクセス」のオプションが必要のようです。

      http://www.net-beat.com/service/active/network/ras.html [net-beat.com]

      いずれにしてもFWにお金を払いたくない現場には置いてもらえ無さそうですけど・・・。

  • 中小企業者等が機械等を取得した場合の特別償却の対象資産として、「インターネットに接続されたデジタル複合機」が挙げられている。ネットに接続しないと節税効果がなくなるのではないかと。
    http://www.pahoo.org/e-soul/privacy/atwork/atwork-028-01.shtm [pahoo.org]

    • by Anonymous Coward
      社外とデータのやり取りできないと脱税ってことか。恐ろしい税制だな。LAN接続できればそれでいいだろうに。
    • by Anonymous Coward

      減税の対価は機器の持っている情報です。

  • by Anonymous Coward on 2013年11月08日 14時06分 (#2492007)

    >公開されていたのはファイアウォール自体がない所であり、PCなど他の機器からも情報が漏れている可能性がある。

    まさにこの指摘の通りで複合機内部の情報どころかNASやらファイルサーバーやらの情報が抜かれてる可能性の方が高いのでは?
    FWがないとかそれ以前にそこらの安ルーターでNATかませばポート解放しない限り内部へのアクセスなんて
    どかにバックドアでもしかけないと難しいのに…。
    それとも今はNATかましてても簡単に外から内側に入れてしまうのですかね?

    • by Anonymous Coward on 2013年11月08日 14時28分 (#2492014)

      いや、この記事を理解するためには、旧帝大のIPアドレス事情を考える必要がある。

      つまり、こういう研究室ではIPv4は基本的に余ってるから、普通、研究室ごとに数個のグローバルIPが割り当てられており、下手するとPC1台につき1つずつグローバルアドレスが振ってある。逆に、コピー機は各研究室に一台ずつあるわけじゃなくて、廊下や専用の部屋に置いてあって、各教室が共同で使うものだから、ほぼ確実に1台ごとにグローバルなIPアドレスが振ってあると思う。

      隣の研究室のホームページですらグローバル越しにアクセスするんだから、コピー機様をローカルネットワークの中に置けるわけがないんだな。

      親コメント
      • そのうち便器にもIPを振ったりするんですかね

        // これ [srad.jp]を連想した(:>^

        親コメント
      • by Anonymous Coward

        > 下手するとPC1台につき1つずつグローバルアドレスが振ってある。

        学部あたりグローバル数個とかにして、残りは返してもらおうよ。

        v4のアドレスの空きもできるし
        学校側もコピー機大公開とか気にしなくてよくなるから
        Win-Winじゃん。

        ちょうどいい機会だと思う。

        • by Anonymous Coward

          この期に及んで「IPv4アドレス取り上げろ」とか冗談でしょ…
          「空きもできるし」とか言うけどそれで何日もつと思って?

          • by Anonymous Coward

            例え1秒で消費されてしまうとしても、誰かの役には立つだろう。
            間抜けに与えておいても害悪でしかない。

            • by Anonymous Coward

              サーバやfirewallでは、IPアドレスを元に、内部からのアクセスを許可しているものが多いわけです。
              IPアドレスを返還するには、それらを全て修正することになります。税金で。
              また、外部の組織へも周知する必要があるでしょう。
              内部、外部にかかわらず、設定の変更を怠った機関が狙われるかも知れません。

          • by Anonymous Coward

            空きが出ると、またまたまた嘘つき呼ばわりされるから困るんですね。
            わかります。

    • by Anonymous Coward

      大学だし、NATかましてない可能性も...

      2年前のコメント
      http://it.srad.jp/comments.pl?sid=521300&cid=1896738 [srad.jp]
      http://it.srad.jp/comments.pl?sid=521300&cid=1896737 [srad.jp]

      • by Anonymous Coward

        こういう問題起きるたびに「グローバルIP」が風評被害を受けてるように見えて悲しくなるね。
        ファイアウォールで適切に防御されていればグローバルもローカルもセキュリティ面では同等。

        • by Anonymous Coward

          裏を返すと、ファイアウォールで適切に防御しないと
          グローバルIPでの運用はローカルよりも危険。

          • by Anonymous Coward
            なるほど。

            ローカルなアドレスをそのままグローバルに使っちゃって、「192.168.0.1 と 192.168.0.2 は、わたしが使っている IP アドレスですので勝手に使わないでください。」という問題に発展するんですね。

            怖い怖い
    • by Anonymous Coward

      NATの内側へ直接外からセッションを張るのは無理です。
      ルータにポートフォワードが設定されてるとか、ルータをジャックしてるとかでないと。
      内側にトロイを飼ってるとNATだけってのは防護なんて無いも同然になるので、
      NAT+ポートフィルタ+IPアドレス別通信許可位はしておきたいですね。
      安物ルータでもこのくらいはできるはず。

    • by Anonymous Coward

      つまり……、

      「ファイルサーバにパスワード設定が必要だとは知らなかった」
      「NASがネットに繋がっているんですか?」
      「メーカーは危険性について説明してくれなかった」

      ……言ってそう。

    • by Anonymous Coward

      firewallがあっても、内部の人間からはアクセス出来るわけで、規模がそれなりに大きい所であれば
      見せるべきでは無い人にも情報が漏れてしまいます。

      なのでちゃんとしたパスワード等の設定が大事なのですが、実際にフィールドに来る複合機の
      エンジニアもその辺りの認識が薄いようで積極的に設定するよう薦めません。
      (パスワード忘れましたと、呼ばれるのが面倒なのかもしれませんが、、、、)

      また、複合機側も利便性のために印刷ジョブを認証の無いwebで確認できるようにしてあったりするのですが、
      例えジョブタイトル(印刷の場合多くはファイル名)や印刷者アカウントだけでも他に知られては困る場合もあります。
      機種によっては処理中ジョブだけではなく履歴一覧が参照できたりも。。。。。

      • by Anonymous Coward

        ものによってはWeb経由をパスワード保護したところで、SNMP経由でジョブリストがだだもれ。さらにSNMPのコミュニティ名をpublic以外にすると、ドライバインストーラが動かなくなるおまけ付きです。どうしろっていうの。

    • by Anonymous Coward

      いや、このタレコミは間違ってると思うよ。

      ファイアーウォールがあれば大丈夫ではなくて、ファイアーウォールで設定=ブロックしていたら問題ないとメーカーが言ってるだけなんだよね。
      実際にはファイアーウォールはあったはず。

      ファイアーウォールを抜けて入れる場所に、複合機納入業者が誰でもアクセスできる状態で設置したって言うのが正しいんじゃないか。

  • 複製権には教育目的なら~みたいな例外規定もあるが、ネットで不特定多数がアクセス出来る状況に置くと、コピーするものによっては著作権侵害になるぞ……。

  • by kwa (316) on 2013年11月08日 23時50分 (#2492353)
    >「パスワード設定が必要だとは知らなかった」
    >「ファックスやコピーがネットに繋がっているんですか?」
    >「メーカーは危険性について説明してくれなかった」
    >などの声が上がっている。

    【情報セキュリティ】なんて言葉も知らないのでしょうね
  • by Dobon (7495) on 2013年11月09日 12時42分 (#2492536) 日記

    会社の複合機、デフォルトゲートウェイがデタラメ設定だった。
    ネットワーク機能を使う人は同じセグメントに接続しているから問題ないけど。

    こういう業者にセキュリティの説明されたら、逆に怖いよ……

    --
    notice : I ignore an anonymous contribution.
    • > デフォルトゲートウェイがデタラメ設定だった。

      それ、わざとやったことがあります。
      よその部署にNotePC持ち出して、うっかりデフォルトプリンタに印刷する事例が、複数あったので、
      プリンタのDGWを到達不能にして、プリンタがネットワーク外からオフラインになるようにしました。

      # 業者「デフォルトゲートウエイの設定はどうしますか?」
      # 立会人「適当に設定しておいて」
      # 業者「はい、適当に、1.2.3.4 っと」
      # なんて会話もありえますけど。

      親コメント
  • IPAがオフィス機器のセキュリティに関する注意喚起、「管理者パスワード変更を」:ITpro
    http://itpro.nikkeibp.co.jp/article/NEWS/20131111/517225/ [nikkeibp.co.jp]

    複合機等のオフィス機器をインターネットに接続する際の注意点:IPA 独立行政法人 情報処理推進機構
    https://www.ipa.go.jp/about/press/20131108.html [ipa.go.jp]

    --
    # SlashDot Light [takeash.net] やってます。
  • by Anonymous Coward on 2013年11月08日 14時43分 (#2492024)

    デジタル複合機に蓄積されたデータが丸見えになっている

    デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に

    「話題に」とかわざわざ2chみたいなタイトルにするのやめなよ

    • by Anonymous Coward

      そのうち「○○がhylom氏の中で話題に」ってなったりして。

    • by Anonymous Coward

      だよね
      それに「話題に」ってどこで話題になってんだよって感じ

    • by Anonymous Coward

      【悲報】をつければ完璧。

  • by Anonymous Coward on 2013年11月08日 14時55分 (#2492033)
    学内のネットワークに繋ぐなら所定の手続きを分でるだろうし・・・(踏んでないからこういう事態になるんだろうし)

    とすると、別に回線契約して繋いでるんだと思うんだけど。
    違うのかな。
    回線契約しているなら幾許かの基本料金とかもかかってるだろうに、それを「知らなかった」てどういうこと?
    月々数千円ならテキトーに流しちゃうもんなの?
    • by Anonymous Coward
      だから所定の手続きして学内LANのHUBに挿したらDHCPでグローバルアドレス振られるんでしょ。回線契約なんか必要ないし、不思議でも何でもない。ちゃんとセグメント分けてしてFW置かなかったネットワーク管理者の瑕疵。
      • by Anonymous Coward
        ごめん。
        他のスレ読んで初めてわかった。
        学内のネットワークなのにグローバルIPなのですね。
        失礼しました。
    • by Anonymous Coward

      とすると、別に回線契約して繋いでるんだと思うんだけど。
      違うのかな。

      大学なんかだと、インターネット専用線が研究室まで来ていて、
      PCや機器ごとに一個グローバルIP配布して接続したりするんですよ。
      特に古い研究室。
      そもそも、インターネットって学術系の情報交換システムが前身のひとつですし。

  • by Anonymous Coward on 2013年11月08日 15時19分 (#2492054)

    素晴らしいね

  • by Anonymous Coward on 2013年11月08日 15時25分 (#2492056)

    LANでもダダ漏れはまずいでしょ。
    パスワード保護もないのか。

  • by Anonymous Coward on 2013年11月08日 16時49分 (#2492096)
    「うちの大学は本当にオープンですから」で押し通してしまえ。
    • by Anonymous Coward

      ゴアとかいう人を思い出した。

  • by Anonymous Coward on 2013年11月08日 18時00分 (#2492128)

    海外にはデータが見える複合機を検索するサイトが存在する(http://www.47news.jp/47topics/e/247325.php)

    このサイトは見つけられないけれど、複合機のネットワークUIの名称でググルとac.jpが出るわ出るわ

  • by Anonymous Coward on 2013年11月08日 18時44分 (#2492167)

    何かのコードを何かの穴に入れるように書いてあったので、その通りにやった。
    それがどういう意味なのかは知らない。

    かつて、どっかのISPで、説明書通りにPCを設定していたら、ISP中でフォルダ共有されちゃった事件ってなかったっけ?

    • by Anonymous Coward on 2013年11月09日 16時10分 (#2492576)

      かなり前のヤフーBBとか、各地のCATVインターネット接続とかで、各ユーザーの線を収容する一地区の範囲が同一セグメントになっていて、マイコンピュータ画面にヨソのうちのパソコンのパブリックフォルダが見えるようになっていた、なんて話はある。地域内でNATになっているのではなくて、グローバルアドレスをサブネットマスクで分けてDHCPで地区ごとに割り振ると。まだ一般家庭にルーターなどは普及していなくて、ADSLモデムなどを1台のパソコンに直結する時代の話。CATVあたりだと、もともと地域内の双方向コミュニケーションを標榜してスタートした会社も多かったから、案外、「地域のみんなが情報共有」って本気で思っていたのかも。

      親コメント
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...