ファイアーウォールの外側にプリンタや複合機を置いていませんか？

printer

mext

report

informationleakage

最近またファイアーウォール外にある複合機やプリンタから情報漏洩の可能性があることが話題になっているようです。

複合機メーカーの1つのキャノンのリリース文を読んでみると、ちょっと回りくどいですが「ファイアーウォールの内側に置いてね。っていうか、普通情報機器はそういう運用するもんでしょ。」という感じの文章になってます。普段あまり意識することはないかもしれませんが、ネットワーク対応プリンタや複合機は、通常何らかのウェブUIを備えており、デフォルトでは管理者パスワードがついていない状態だったりするんですよね。印刷の履歴的なものも有効になっているので、それらが自由に見られるようになっていたりもします。そんなわけで、メーカーの自分は悪くない、ユーザーの設定が悪いんだという言い訳にはちょっと疑問を感じざるをえないところです。

とにかく、ネットワークプリンタを運用している場合には一度ウェブ画面にアクセスして、設定を確認みることをオススメします。

ニュース - 複合機からの情報漏洩でメーカーが注意喚起、「メーカーの対応に問題も」と専門家：ITpro

ファクスやスキャナーなどの複合機から、インターネットを経由して複合機内部の情報が部外者に閲覧される可能性があるという一部報道を受け、複合機メーカー各社は2013年11月5日より、注意喚起を促す情報を発信している。

キヤノン：複合機のセキュリティーに関する報道について

これは複合機だけでなく情報機器全般についても言えることですが、イントラネット内の複合機にインターネットからアクセスできないような環境を構築、運用していただくことで、最良のセキュリティー対策が築けます。ファイアウォールなどで保護されたネットワークの中で運用いただき、複合機を含む情報機器側にも適切なセキュリティー設定を施してご利用いただければ、安心してお使いいただけます。

このあたりの件については3月頃に IPA がデジタル複合機のセキュリティに関する調査の報告書^*1をリリースしたときに話題になったのだと記憶していますが、また話題になっているのは大学の複合機からの情報漏洩があったからですかね。

文科省、３大学から聞き取り…「複合機」漏えい : ニュース : 教育 : YOMIURI ONLINE（読売新聞）

文科省によると、琉球大は、今年１、２月に実施された期末試験の答案など個人情報が学内の一部の複合機から閲覧できる状態になっていたことを認め、現在、他の複合機についても調査を進めているという。一方、東大と東北大は読売新聞に対し、学内に設置されていた一部の複合機から情報が誰でも閲覧できる状態になっていたことを認めた。