2022年11月1日、独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は、京セラドキュメントソリューションズ製のコピー機(複合機)・プリンターのWebインタフェースにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)※」で発表しました。
※Japan Vulnerability Notes(JVN)とは、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に役立つことを目的とする脆弱性対策情報ポータルサイトです。
影響を受けるシステムは以下の通りです。
| カラー複合機 | モノクロ複合機 |
| TASKalfa 7550ci/6550ci TASKalfa 5550ci/4550ci/3550ci/3050ci TASKalfa 255c/205c TASKalfa 256ci/206ci ECOSYS M6526cdn/M6526cidn FS-C2126MFP/C2126MFP+/C2026MFP/C2026MFP+ |
TASKalfa 8000i/6500i TASKalfa 5500i/4500i/3500i TASKalfa 305/255 TASKalfa 306i/256i LS-3140MFP/3140MFP+/3640MFP ECOSYS M2535dn LS-1135MFP/1035MFP |
| カラープリンター | モノクロプリンター |
| LS-C8650DN/C8600DN ECOSYS P6026cdn FS-C5250DN |
LS-4300DN/4200DN/2100DN ECOSYS P4040dn ECOSYS P2135dn FS-1370DN |
京セラドキュメントソリューションズ株式会社が提供する複合機・プリンターのWebインタフェース「Command Center」には、下記の影響を受ける可能性がある複数の脆弱性が存在するとのことです。
| Command Center | |
| セッション情報を容易に推測可能な問題(CVE-2022-41798) | 隣接するネットワーク上の第三者が推測したセッション情報を使用することによって正規ユーザになりすましてログインされる。 |
| 認証欠如(CVE-2022-41807) | 隣接するネットワーク上の第三者に細工されたリクエストを送信されることによって認証無しで設定を変更される。 |
| 格納型クロスサイトスクリプティング(CVE-2022-41830) | 管理者権限でログインしているユーザのWebブラウザ上で任意のスクリプトを実行される。 |
JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけています。また、対策版を適用するまでの間、信頼がない第三者からのアクセスを防ぐために、ファイアウォールなどで保護された環境の中で使用する、プライベートIPアドレスで使用するなどの対策を推奨しています。
事務機器ねっとでもセキュリティを統括する機器として、複合機とネットワーク全般を保護するUTM(Unified Threat Management=統合脅威管理)を提供しております。コピー機・プリンターのセキュリティに関するご相談も承っておりますので、気軽にお問い合わせください。
UTM(Unified Threat Management=統合脅威管理)の価格や機能等の詳細はこちら
事務機器ねっとは「コピー機・プリンターリース価格満足度 第1位」と「コピー機・プリンター販売サイト導入後のサポート満足度 第1位」の二冠を獲得しました。
人数無制限・定額制の勤怠管理システム
