一部の教育機関ではネット接続された複合機等で不適切な設定によりデータ丸見え 52
ストーリー by hylom
まだまだよくある話 部門より
まだまだよくある話 部門より
あるAnonymous Coward 曰く、
ネット接続された複合機やプリンターの安全設定が行われていないため、中のデータが見えていた教育機関が多数あったそうだ(朝日新聞の記事1、記事2)。朝日新聞の取材を受けて各学校は対象機器のネット接続を遮断した。
ネット接続された印刷機器はPCに次いで情報が蓄積されているが、PCに比べて安全対策が甘い傾向にある。大手企業や有名大学では比較的対策が取られているものの、中小企業や自営業、中堅や地方の大学、高校以下の学校では比較的対策が遅れていると言われている。大学では、専門部署が一律に対策を取るのではなく、研究者の裁量に任されているところもあるため、対策に温度差があるところも多い。他大学の不祥事を受けて対策を取ったものの、機器入れ替え時に設定が行われなかった事例もある。皆様の職場や学校ではきちんと設定されているだろうか。
中小企業に複合機のインターネット接続を要求する税制に問題があると思う (スコア:5, 興味深い)
インターネットにつなぐ必要のない機器をインターネットに接続しないというのは、セキュリティ上非常に重要です(パッチあてに必要ならば、その時だけ接続すると良いでしょう)。
しかし、中小企業等投資促進税制 [nta.go.jp] というものがありまして、
中小企業税制 [meti.go.jp] によると、
と、複合機はインターネットに接続しないと税制上不利な扱いを受けるのです。
勿論、認証をかけてインターネット経由で利用できる機能や利用者を制限しても良いのですが、IT管理者も居ないような中小企業に対して、(本来インターネット接続が不要な場合でも)税制上不利な扱いをされないためだけにインターネット接続を要求するような制度に大きな問題があると思います。
# にしても、政府はなんでそんなに複合機をインターネットに接続させたいんでしょうかねぇ。
# 流石に、複合機に仕掛けてあるバックドアを利用したいなんてことは無いとは思いますが。
そんなこと言っても、LANに繋がってればいいんじゃないの? (スコア:1)
…と思ったら、通達にLANだけじゃダメときっぱり書いてあるんですね。
http://www.nta.go.jp/shiraberu/zeiho-kaishaku/joho-zeikaishaku/hojin/0... [nta.go.jp]
42の6-9 措置法規則第20条の2の2第1項第1号において本体と同時に設置することを条件として特定機械装置等に該当する旨の定めのある附属の機器等には、一の計画に基づき本体を設置してから相当期間内に設置するこれらの附属の機器等が含まれるものとする。
(注) 措置法規則第20条の2の2第1項第2号の規定の適用を受けることができるデジタル複合機とは、事業の用に供する際にインターネットに現に接続されている状態にあるものをいうのであるから、インターネットに接続する機能を有するものであっても、例えば、インターネットに接続されていない社内のLAN設備として設置されるものは、これに該当しないことに留意する。(強調引用者)
なんの意味があるんだろ。
Re: (スコア:0)
条文書いた関係者が
俺たち IT判ってるんだモんね エヘン
と、顕示したいだけの様な気がする
いや、判ってないよ
Re: (スコア:0)
「デジタル複合機」としての機能に何の関係もないのがおかしいよな。通達にも、インターネットに繋げて、「何をする」のか書いてないし。
IT云々の以前の話として、規程としておかしい。起案した人たちは疑問に思わなかったのだろうか。
Re: (スコア:0)
複合機メーカから、インターネット経由でのカウンタ確認が主流になるような記載をするように
要望があったんじゃないかと邪推。一々現地行って、カウンタを確認したくないだろうから。
Re: (スコア:0)
邪推じゃないです。要望というより事実上の強制がありました。今のところカウンタの確認と言っていますが、ゆくゆくはメーカー側で統合サービスを展開して、システムごと売る形を狙っているとか。プリンタも全部一括購入で機種統一になりました。
Re: (スコア:0)
消耗品の自動配送もやりたいんじゃないですか?
導入する側も人減らせるし。
導入当初はカウンター繋げに来るサービスマンの態度がかなり横柄だったりした。
いきなり穴開けろとか強盗かよ。
Re: (スコア:0)
平成17年12月に出た総務省の平成18年度税制改正資料 [soumu.go.jp]を見ると、テレコム・郵政事業関係の改正なんですよね。
目的としては、「ICT分野の中小・ベンチャー企業が行う戦略的な設備投資を支援することにより、新規事業の創出や企業の高付加価値化を促進し、もって雇用の創出や社会経済の持続的発展を図る」となっていて、電子計算機やソフトウェアと一緒に追加されています。
要するに、「最新のIT機器に買い替えてください」という制度ですよね。
そして、出来上がった税制改正の概要 [mof.go.jp]では、「インターネットに接続されたデジタル複合機」となっています。
また、ソフトウェ
Re: (スコア:0)
>事業の用に供する際にインターネットに現に接続されている状態にある
ということはですよ、
インターネットに接続された社内のLAN設備に接続されていたとしても、ファイヤーウォールによってインターネットとの通信が一切断たれた状態である場合、
「インターネットに現に接続されている状態にある」とは言えないということですよ。
Re: (スコア:0)
紙幣をコピー/スキャンしようとしたら、ユーリオン [wikipedia.org]を検出して自動通報…と云うのはありそう。
Re: (スコア:0)
小規模なネットワークなら大抵はNATで守られてるので、IBは然程気にしなくても問題はないし、
意図してルーターに穴開けるなら、その過程で外部との接続を意識するのでセキュリティは確保すると思う。
大学で何も考えずにIPを割り振ったら、それはグローバルIPで特にFWもなかったら外から見えたと予想。
設置に来たコピー機屋の作業員はNATで守られてるネットワークでしか作業したことはないだろうし、そういう研修しか受けてないかと。
複合機にグローバルIPを割り振るなんてのは大学ぐらいだと思うので、あまり他では発生しなさそう。
IPv6 にも注意 (スコア:2)
IPv6 対応の環境の場合、複合機などにも IPv6のグローバルユニキャストアドレスが割り当てられていて、IPv6 で外部からインバウンド接続可能になってるかもしれません。
IPv6 のパケットをそのままスルーして全部通すようなルーターが意外と出回っているので、IPv6対応の環境が増えてくると被害が増えてくるかも。
Re: (スコア:0)
> NATで守られてる
NATは守るための機能じゃなくて、結果的に外部からアクセスしにくくなるだけね。
細かいことを気にするやつだと思われるだろうけど、NAT=ファイアウォールと勘違いされるのは後で困るだろうから。
Re: (スコア:0)
だからこそ、NATで「守られている」と書いたのでは?
副次的にNATによって「守られている」ネットワークでしか作業したことがない人間は、能動的にFWで「守らなければ」ならないネットワークに対応できないという指摘でしょう。
「外部からアクセスしにくくなる」というのは、完全ではなくとも、ノーガードよりも「守られている」状態にあることは確かです。
Re: (スコア:0)
> NAT=ファイアウォールと勘違いされるのは後で困るだろうから。
だれがNAT=ファイアウォールって言っているんですか?
あなたがファイアウォールを理解していないことによる妄想じゃないですか?
> NATは守るための機能じゃなくて、結果的に外部からアクセスしにくくなるだけね。
これもあなたがNATを理解していないことによる妄想
外部からアクセスする必要があるならその設定をすればいいだけ。
外部からアクセスする必要があるものをNATに置く必要はない。
=NATは別に“外部からアクセスしにくくなるだけ”ではない。
Re: (スコア:0)
趣旨としては、中小企業にIT導入を促すための税制措置でしょう。で、モノだけ買って形だけにならないようにインターネット接続を要求していると。あとはデジタル複合機を広めて企業のインフラ基盤の整備とかかな?
企業のIT化を進めること自体が政府によって企業側を監視する狙いか?などはいくらでも考えられるので、ネタとしてはおもしろい。
Re:中小企業に複合機のインターネット接続を要求する税制に問題があると思う (スコア:2)
国税局管轄のどこかがそれらに侵入して中小企業の財務情報を収集しようとしていたりして(陰謀)
Re: (スコア:0)
モノに対してだけ金だす時点で、どうみても箱物行政ですけどね。
ハード偏重、ソフト蔑視なのは前世紀からブレませんな。
Re: (スコア:0)
国税庁の通達では、別にFWをかますことはNGとされていません。特別控除を受ける際に必要なことは「社外とメールなどのやり取りをしているかどうか」です。
中用企業であっても、今回の大学の事例のように、(恐らくグローバルIPを割り振って)FWもない場所に設置するようなへまはしないでしょう。
Re: (スコア:0)
インターネットに接続しろとは書いてあるがインターネットに公開しろとは書いていないような?
デフォルト設定 (スコア:0)
デフォルト設定はガチガチの安全設定にしておけよ
# わざわざ後から設定を変更していたなら、ただの馬鹿
Re: (スコア:0)
一般ユーザーにはそれが通用しないからだと思われる。
基本的にセキュリティとかほとんど考えてない。便利で楽で、すぐに使えるのが何よりも優先される。
少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。
Re: (スコア:0)
> 少しでも手間がかかろうものなら、すぐに低評価・クレームにつながる。
だからこそ、デフォルトの状態でセキュリティ上の問題があるものはまずいんじゃないの?
プリンタなんて買ってきてつなぎさえすれば何の問題もなく使えて当然。
Re: (スコア:0)
とあるメーカーにプリンター側で対策するなら機能自体を停止するしかないと言われた。
そもそも問題になる事自体想定していなかったと思われる。
調査=不正アクセス (スコア:0)
じゃないんですか?
Re:調査=不正アクセス (スコア:1)
とありました。
私も突っ込もうかと思ったのですが、予め予防線を張られていたので暫く静観します。
Re:調査=不正アクセス (スコア:1)
なるほど、何度もやってるので記者様も慣れてますね。
法令に抵触しないように調べても中身だだ漏れだとほんとにノーガード戦法状態っぽい。
最近だとマイナンバー書かれた紙や顔写真コピーして手続きに使ったりとかしてそうだからちょっと薄ら寒い。
発表前の論文や実験データも横から見放題なのか。
Re: (スコア:0, 荒らし)
元記事くらい読めよ、ネトウヨ。
Re: (スコア:0)
うろ覚えだけど、セキュリティ無しのパスワード無しならアクセスしても問題は無かったんじゃないっけかな?
Re: (スコア:0)
http://www.itmedia.co.jp/news/spv/0503/25/news022.html [itmedia.co.jp]
セキュリティーなし・パスワードなしの場所でも「普通FTPでアクセスする場所(と管理者が主張する場所)」にHTTPでアクセスすると有罪になる。
(FTPはパスワード設定されていたがHTTPからのアクセスは認証なかった)
Re: (スコア:0)
その事件はCGI経由して個人情報にアクセスしたみたいだから、URLを直接叩いてアクセスすることはできないようにはしてあったのでは?
どうせsystem関数を通しちゃうような脆弱なCGIになっていて、システムコマンドでファイルリストやhttpで公開している範囲外のデータ出力したのでしょう
あまりにシステムがザルすぎるだけで、たとえばSSHに特殊なデータ送ってパスワードなしでログインしたり、シェルの脆弱性突いてRootに昇格するのと違いはないかと
Re: (スコア:0)
デフォルトのユーザとパスワードを使うのは不正アクセスに
なるんですよね確か
Re:調査=不正アクセス (スコア:1)
今回の調査はお墨付き監修ありなのでキレイな調査だそうな。
そもそも (スコア:0)
なんで複合機が外部に晒されるようになってんの?
複合機メーカー側に外部からの閲覧を阻止する措置を取らせるとか、根本的なところで間違ってるようにしか思えないけど。
Re:そもそも (スコア:1)
自分もそう思うんだけど。
知ってる複合機だと、トナーの使用状況とかトラブル状況とかを複合機メーカーが監視する都合上、メーカーのサーバーから常に監視する都合で、インターネットに晒そう晒そうとメーカー側が仕向けてるようにすら感じる。外部からの通信出来なくしたりすると、「おたくのステータスが取れないんですけど、何かトラブルですか?」みたいに、数日でサービスマンが飛んで来たりする。
インターネット経由でファックスだのメールだの送ったりする都合でアクセスしたいんだろうけど。社内ネットワークはともかく、社外のインターネットとの通信には慎重になって欲しいよ。
Re:そもそも (スコア:1)
トナーの使用状況とかトラブル状況とかを複合機メーカーが監視する都合上
こういう目的なら、制御情報とデータ本体分離して、制御情報だけ見えるようにするといいんだろうけど、難しいのかな?
Re: (スコア:0)
うちではそれ電話回線でやってるけどな
向こうから一日一回ぐらいのペースで電話がかかっていているみたい。
Re: (スコア:0)
それたぶん印刷カウンタの確認だけだから、メーカのサポートには使えないと思うよ。
Re: (スコア:0)
>メーカーのサーバーから常に監視する
どちらの複合機をお使い?
うちはRICOHなんだけど、基本ファイアーウォールの内側なので、外からのアクセスではなくて
何かあったときは、内側(複合機)が、RICOHに対して何らかの情報を送る設定になっています。
設置の時に、固定IPを割り当ててあげましたから。ちなみにOSはNetBSDでした。
Re:そもそも (スコア:1)
XEROXはインターネット経由で保守関連の情報取るよ。なのでファイアウォールに穴開けろって言われた。
Re: (スコア:0)
プリンタから発呼すれば穴あけなくていいんじゃないかな?
定時報告じゃあかんのかな。
本体にでっかいボタンつけといて、問題があったら押して!はできんのかな。
Re: (スコア:0)
ファイアーウォールに穴って…バカげた発想でこれだとXEROXの複合機に脆弱性があったら、XEROX複合機使ってるくらいの大企業のデータを引っ張れて、犯罪者が喜ぶだけだと思うんだけど。
Re: (スコア:0)
脆弱性どころか間違いなくバックドア仕込んでくるでしょう。
企業や大学だけでなく、マルチコピー機「コンビニ交付(行政サービス)」のマイナンバー対応について [sharp.co.jp]なんて話もあって、マイナンバーが韓国や中国に取られ放題とか、ぞっとします。
Re: (スコア:0)
外部公開用ネットと内部用ネットをファイヤーウォールで区切ってなくて、ありあまるグローバルIPを複合機に直接割り振って、外部にも公開なんてことやっていたんじゃないかい。
Re: (スコア:0)
その「外部」ってのをどうやって認識するの?
保守目的のアクセスなら事前にどこからって情報があるから制限できるけど、
「つないですぐ何も設定せずにつなげる」を要求されると、
複合機の機能に対するアクセス制限も暗号機能等による内容秘匿も、
デフォルトで有効にするのは難しいよ。
ADの下にぶら下げてアクセス制御とかはかなり前から持ってるんだけどね。
複合機が外から見える問題は既出。どうやって防止するかもアナウンスされてる。
この記事は受け入れ側がサボったか継承できてないという話。
外部ゲートウェイで素抜けにしないってのは複合機メーカーのできることじゃない。
#保守アクセスをIP化するときの中の人だったのでAC
ネット接続は保守用の意味もある (スコア:0)
昔は、そのために電話回線を利用してた。Fax用の回線を使うのが普通。
で、今はネット接続を利用する。保守会社は電話代が不要になるからね。
単純にファイヤウォールを入れちゃうと外部から接続できない。
だから外部に晒すような構成にしちゃう
今回のはどこかに新奇性があるの? (スコア:0)
無防備にネット接続された機器から情報がダダ漏れしていることや、そういう機器を検索するサイト(shodan等)が存在することも知られていますし、スラドでも過去に何度も話題になっていますよね・・・・・・・
今回のはどこかに新奇性があるのかな?
Re: (スコア:0)
2013年6月の報道で大騒ぎしたのに、まだ対策してない奴らがいると。
それはこういう層ですというニュースではないかな。
Re: (スコア:0)
ネットに関わる人なら知っていた人が多かった事なのに教育機関じゃ対応していなかったという事は
行政側の情報の伝達や体制、対策に何か問題があったという指摘は出来ますね
少し前もあったよね (スコア:0)
>http://security.srad.jp/story/13/11/08/0410239/
デジタル複合機に蓄積されたデータに対し外部からアクセスされる問題が話題に
大学でグローバルIPを自動的に割り当てられてしまっている、コピーとかでしょ?
もし高校とかがあったとしたら、同じネットワーク内にある系列校とかじゃない
そんなにIP潤沢じゃないから、一般的にはNATつかって、網内はローカルIPだから、問題にならないはず。