事例で学ぶセキュリティインシデント（第10回）社内ネットワークにつながる複合機のセキュリティリスク

公開日：2024.03.12

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　J社では、複写機、スキャナー、プリンター、FAX機能を備える複合機を本社・工場に設置。総務兼IT担当者は定期的に複合機の操作ログを調べ、利用状況を確認していたところ不審な操作ログに目が留まった。

　文書データを一時保存するハードディスクから、データがダウンロードされた形跡があったのだ。「不正アクセスかもしれない」。重要な情報が外部に漏れていれば大変なことになる。IT担当者は上層部にインシデントの可能性を報告するとともに、IT事業者のサポートを得ながら調査に着手した。

メモリーに一時保存された情報が不正利用される恐れ

　J社は大阪に拠点を構え、従業数を30名ほど抱える部品製造会社だ。工作機械メーカーなどとの取引があり、顧客から預かった設計データなどを扱うことからセキュリティ対策にも留意してきた。パソコンやサーバーのウイルス対策や、社内ネットワークと外部ネットワーク（インターネット）の境界にファイアウォールを設置し、これまでセキュリティ上の問題が起こることはなかった。

　ただ、IT担当者はパソコンやサーバーと同様に社内ネットワークにつながる複合機のセキュリティリスクは以前から耳にしていた。工場では設計・製造にかかわる技術情報などを複合機で印刷したり、コピーしたりして従業員が参照するといった使い方をしている。すべてが機密情報というわけではないが、取引先にかかわる情報も含まれるため、適正に使われているかどうか複合機の操作ログを定期的に確認していた。

　複合機にかかわるリスクはさまざまある。その1つが出力した文書・資料の取り扱いがずさんで複合機の操作後、置き忘れたり、紛失したりして情報漏えいする恐れがある。複写機、プリンター単体でも同じことが言える。

　また、作業者のパソコンから社内ネットワークを介して複合機へデータを転送する際の盗聴・改ざんリスクや、複合機のハードディスク/メモリー領域に一時保存されるデータが不正アクセスされ、管理者の権限が奪われたり、悪意のあるコードが埋め込まれたりして情報漏えいするといったリスクもある。

　さらに、役員会議用にプリントアウトした経営にかかわる機密情報や知財情報、顧客情報などが含まれるデータが社外に流出すれば、それこそ取り返しのつかない事態を招くことになりかねない。

管理者権限が奪われて悪用されるリスクも…

　かつて、複写機が社内ネットワークにつながることなくスタンドアローンで利用していた時代もあった。セキュリティ対策の面でも出力した文書などの置き忘れや紛失・盗難、不正な持ち出しなど、従業員のうっかりミスや不正行為を起こさないために社内の業務環境に主眼を置いた対策で済んだ面もある。

　だが、複合機には多様な機能が搭載され、しかも社内ネットワークに接続されているため、外部からの不正アクセスに備えた対策が求められる。例えば、パソコンやサーバーなどのIT機器と同様に、外部からの攻撃を防御するためファイアウォールの内側に置き、許可されたIPアドレスのみ通信できるなどの制御を行う。こうすることで外部からの不正アクセスを防ぐことも可能だ。複合機へのデータ転送時の盗聴・改ざんを防ぐ方法として暗号通信のSSL/TLSに対応する複合機もある。

　パソコンのログインやアプリケーションを利用する際には、ID、パスワードを入力して認証するのが一般的だ。複数の従業員が利用する複合機も、ID、パスワード認証や、ICカード形式の社員証をかざすなどしてユーザー認証することにより、第三者のなりすましによる不正利用を防ぐことも可能だ。

　複合機を利用できるユーザーの登録、認証、アクセス制御、操作ログの取得など、さまざまな機能を設定、運用するIT担当者自身のパスワード管理も欠かせない。悪意のある第三者が管理者のパスワードを盗み取り、管理者権限を悪用して不正アクセスするリスクもあるからだ。例えば、プリンタードライバーのぜい弱性を突き、メモリー領域の処理能力を超える大量のデータを送り付けたり、悪意のあるコードを送り付けたりする「バッファオーバーフロー攻撃」もある。悪意のあるコードが実行されると管理者権限が奪われる恐れがある。

　そうした攻撃への対策として、複合機メーカーは製品のぜい弱性を修正するためのドライバーやファームウエアを提供。ユーザーは対策済みの最新版ソフトウエアを適用することでセキュリティリスクを軽減できる。複合機が備えるセキュリティ機能や対策はメーカーごとに異なる。複合機を管理する総務やIT担当者は自社で使用しているメーカーのセキュリティ機能を確認し、どんな対策が可能なのか把握しておくといいだろう。

複合機利用時のユーザー認証などを徹底

　J社のIT担当者は操作ログの情報を元に流出した文書がないかどうか調べた。その結果、複合機へのアクセスは工場が休みの日曜日に行われたこと、ハードディスク/メモリー領域から文書データのダウンロードを試みたことはログで調べられたが、不正行為から日時がだいぶ経過していたこともあり、情報漏えいの有無は確認できなかった。

　IT担当者はインシデントの経緯を経営層と工場を含む全従業員に報告。そして、複合機を操作する際のユーザー認証の徹底や、紙にプリントアウトして工場に貼り出していた情報はタブレット端末で参照するように仕事のやり方を変更し、印刷物の紛失・盗難による情報漏えいリスクを回避できるようにした。

　そして外部からの脅威を防ぐため、新たにUTM（統合脅威管理）の導入を検討。その上で、取引先とメールやFAXで送受信している受発注書や、外部メモリーで受け渡しを行っていた設計データについてもインターネット接続環境があればオンラインでやり取りできるクラウドストレージの活用を検討するなど、セキュリティ対策を強化しながら業務改革を進めていく構えだ。