いつでもそこにある、ほとんど目立たないオフィスのプリンターについて、あまり考えたことはないだろう。しかし、それがハッカーの餌食になっているとしたらどうか。セキュリティ研究者によって発見された数十もの脆弱性が、そのままにされていたら、十分あり得る話なのだ。
今回のDef Conのセキュリティ会議で発表された、NCCグループによる最新の調査結果によれば、オフィスプリンターをターゲットとするのは非常に簡単だという。
ちょっと考えてみよう。通常オフィスプリンターは、金融、IT企業、政府など、大規模な組織で使われていて、そうした組織の秘密や、極秘扱いの資料なども印刷する。そして、印刷内容のコピーを記録として内部に保存している。プリンターは、一般に考えられているよりも、ずっと複雑なデバイスだ。インターネットに接続された複数のコンポーネントからなり、複数のネットワークプロトコル、複数のプリンター言語とフォントに対応する。そこに複数のアプリやデバイスから接続して使う。こうしたものすべてが、それぞれ脆弱性を持っているのだ。
そのようなオフィスプリンターが狙われるのは当然だろう。機密データの宝庫なのだから。しかも、ほとんどの場合、インターネットに接続されていて、ウェブベースのインターフェースを備えている。つまり、付け入るスキはいくらでもあり、簡単にハッキングできてしまうのだ。
3ヶ月の作業を通して、研究者のダニエル・ロメロ(Dniel Romero)氏と、マリオ・リバス(Mario Rivas)氏は、HP、Lexmark(レックスマーク)、ブラザー、Xerox(ゼロックス)、リコー、京セラ、といった大手6社のプリンターメーカーの製品から、45種類の異なる脆弱性を発見し、報告した。これらが引き起こす問題の中には、印刷ジョブのコピーを攻撃者のサーバーに吸い上げることまで許してしまう、というものもあった。
また研究者は、そうした脆弱性のあるプリンターを乗っ取ってボットネットに登録し、ジャンクトラフィックを発生させて、ウェブサイトを過負荷にすることができるのも証明してみせた。あるいは、わずかな操作で、プリンターを完全に動作不能にできることも示した。それだけでも、ビジネスの運営に大損害をもたらすことになる。
「犯罪者が悪質なツールを開発して、脆弱なプリンターに片っ端から侵入し、修復不能な状態に破壊したとしましょう。そうなれば世界中の印刷機能が大きな打撃を受けることになります。医療、法律、金融サービスなど、印刷されたドキュメントに強く依存しているような部門にとっては、壊滅的な状況を招きかねません」と、ロメロ氏やリバス氏は警告する。
それだけではない。プリンターは「ネットワークへの継続的なアクセス手段」を得る方法として利用することも可能だと、彼らは指摘する。それを足がかりにして、企業のネットワークの深部にまでアクセスすることが可能になるのだ。
ほとんどの場合、プリンターは、デスクトップやノートパソコンで使われているようなマルウェア対策サービスによって保護されていない。そのため、悪意のある攻撃者は、デバイスに対する永続的なバックドアを獲得して、標的とする企業ネットワークへの長期的なアクセスを確保することさえできる。
研究者がこうしたバグを報告すると、プリンターメーカーからは、さまざまな反応が返ってきた。それ以降、すべてのメーカーは、研究者が発見したバグを修正したものの、メーカーの中には脆弱性に関する情報を開示する方法を用意していないものもあり、一部の会社とは2ヶ月以上連絡が取れず、立ち往生した状態だという。
Lexmarkは、9つの脆弱性を修正し、独自のセキュリティ報告書を発行した。こうした「誠実」な脆弱性開示の取り組みについて、研究者も称賛している。
HPも、セキュリティ報告書を発行して、5つのバグを指摘されたことを開示し、後にバグも修正した。
しかし研究者によれば、「おそらくさらに多くの」バグが潜んでいる可能性があるという。「いくつかの脆弱性を発見した時点で、探索を中断している」からだ。さらに悪いことに、ほとんどのプリンターメーカーは、複数の異なる機種で、同じコードを使いまわしている。そのため、たった1つの脆弱性が、かなり広範囲のデバイスに影響を及ぼす可能性が高い。
次からは、プリントする前にちょっと考えてみよう。
Image Credits: Getty Images
[原文へ]
(翻訳:Fumihiko Shibata)