ソフトウェアの脆弱性情報をまとめているJapan Vulnerability Notes(JVN)は10月25日、シャープおよび東芝テック製の複合機に複数の脆弱性があることを明らかにした。両社も同日付でユーザー向けに対応方法などを案内している。
多数の機種が脆弱性の対象に
公開された脆弱性はCVE番号ベースで、両社あわせて合計9個。JVNによると、具体的には以下のような問題が生じる可能性があるという。
・細工されたHTTPリクエストを処理することで、複合機がハングアップする(CVE-2024-42420、CVE-2024-43424、CVE-2024-45829)
・細工されたHTTPリクエストを処理することで、複合機の内部のファイルにアクセスされる(CVE-2024-45842)
・設定登録APIが管理者権限を持っていないユーザによって使用される(CVE-2024-47005)
・複合機のウェブページの認証機構を迂回してアクセスされる(CVE-2024-47406)
・細工されたURLにアクセスした際、ブラウザー上で任意のスクリプトを実行される(CVE-2024-47549、CVE-2024-47801)
・管理者権限を持ったユーザが細工した入力をすることで、複合機にアクセスした他のユーザのブラウザー上で任意のスクリプトを実行される(CVE-2024-48870)
対象機種はシャープが「BP-70C65」など143機種、東芝テックが「e-STUDIO 908/1058/1208」の3機種となる。
対応については両社でわかれており、東芝テックは販売店からユーザーに対し、ソフトウェアのバージョンアップを案内。あわせて、脆弱性を回避するため、「複合機をファイヤーウォールに守られたネットワークに接続する」「ユーザー認証を有効化してパスワードを適切に管理する」といった対策をとるよう説明している。
シャープは現行製品(70機種)にソフトウェアアップデートを提供。希望するユーザーは販売店もしくは同社へ連絡するよう案内している。残りの73機種についてはサポート期間を終えているため、アップデートは提供しない。
同社はアップデート対象か否かを問わず、「複合機をファイヤーウォールやルーターなどで保護したネットワークで利用する」「パスワード設定で複合機用ウェブページへのアクセスを制限する」「複合機の管理者パスワードを初期値から変更した上で適切に管理する」「監査ログを定期的に確認する」といった対策をとることで、攻撃に対するリスクを低減できるとしている。
