現代のオフィスプリンターは多機能なマシンです。重要な書類を瞬時に印刷、コピー、スキャンできます。プリンターアプリや、GoogleクラウドプリントやHPのePrintといった新興のクラウドコンピューティングサービスの登場により、インターネットに接続すれば、あらゆるデバイスから、どこからでもこれらすべての操作に加え、さらに多くの操作が可能になります。しかし、その接続性の高さゆえに、これらのデバイスはオフィスへの容易なアクセスを狙うハッカーにとって格好の標的となっています。
MITテクノロジーレビューのロバート・レモス氏は先日、セキュリティコンサルタントのデラル・ハイランド氏に、現代のプリンターがもたらすセキュリティリスクについて話を聞きました。ハイランド氏はネットワーク侵入テストの過程で、「Praeda」というシンプルなプログラムを開発しました。これは、デフォルトのパスワード、あるいは最悪の場合、パスワード保護が全くされていないWebサーバーで稼働している安全でないプリンターが持つネットワークの脆弱性を探し出すプログラムです。
今週末、ハイランド氏は、ワシントン DC で開催される情報セキュリティに関するオープンな議論を促進するハッカー コンベンション、第 7 回 ShmooCon で Praeda のデモを実施し、最も一般的なプリンタ セキュリティの脆弱性をいくつか紹介する予定です。
今年、複数の Web 接続プリンターをテストした結果、これらのクラウド コンピューティング デバイスが深刻なセキュリティ問題となることが予想されましたが、これは当社だけではありません。zScaler Labs のセキュリティ リサーチ担当副社長 Michael Sutton 氏は、昨年、長文のブログ記事を公開し、セキュリティ保護されていない HP オールインワン プリンターのスキャナーに残された潜在的に危険な文書のコピーをハッカーがいかに簡単に盗み出せるかを暴露しました。
このエクスプロイトでは、もう一度、「推定インクレベル」や「HP PhotoSmart」などの単純な Google 検索文字列を使用して、セキュリティ保護されていない Web 接続プリンタを探し出し、脆弱なパスワード セキュリティを悪用してプリンタをリモートで破壊し、HP の WebScan 機能を使用してドキュメントをスキャンします。
結局のところ、本当の問題は椅子とキーボードの間にあります。プリンターをクラウドに公開するのは全く安全です。ただし、Web接続プリンターでも、他のリモートアクセス可能な個人データのリポジトリと同様に、セキュリティ対策を講じるようにしてください。絶対に必要な場合を除き、リモートアクセス機能を無効にし、パスワードを定期的に変更し、機密データ(ビジネス用または個人用)をメモリやスキャナートレイに残さないようにしてください。
