IPA、デジタル複合機の脆弱性に関する調査報告書を公開


 独立行政法人情報処理推進機構(IPA)は30日、デジタル複合機に関する脆弱性の調査報告書を公開した。

 コピーやプリンター機能を持つデジタル複合機については、ネットワークからの利用やUSBドライブなど各種メディアへの対応など多機能化・高機能化が進んでおり、IPAの「ITセキュリティ評価および認証制度」においてこれまでに多くのデジタル複合機のセキュリティ評価が実施されている。

 IPAでは、デジタル複合機のさらなる多機能化が進み、IPv6ネットワークなど多岐にわたる利用環境で使用されることが予想されることから、脅威・脆弱性を網羅的に洗い出し、「ITセキュリティ評価および認証制度」の水準向上を目的として、調査を実施した。

 調査報告書では、ソフトウェア、ハードウェア、通信システムなどデジタル複合機の16種類の情報資産ごとに、ISO/IEC 27001の情報セキュリティの要求事項7タイプ(機密性、完全性、真正性、責任追跡性、否認防止、信頼性)を破る想定から脅威の洗い出しを実施。脅威の発生に至る攻撃手法または事故の例を挙げ、その原因となる脆弱性を網羅的に調査し、約200件を脅威・脆弱性リストとしてまとめた。

 また、デジタル複合機に関する代表的な6件の脆弱性については詳細な解説を掲載。ユニット間でのデータ盗聴や、ドライバー用プロトコルを経由した侵入、複数配信を一括して実行する機能、多数のプロトコルに含まれる脆弱性、遠隔保守インターフェイスの悪用、着脱式媒体を利用したデジタル複合機の構成変更について、それぞれ原因・攻撃手法とその影響、対策となる運用・実装ガイドを詳細に解説している。


関連情報

(三柳 英樹)

2010/8/30 18:49