独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月24日、コニカミノルタ製複合機および印刷システムにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受ける製品名と対象バージョンは以下の通り。
bizhub C750 i G00-35またはそれ以前
bizhub C650 i / C550 i / C450 i G00-B6またはそれ以前
bizhub C360 i / C300 i / C250 i G00-B6またはそれ以前
bizhub 750 i G00-37またはそれ以前
bizhub 650 i / 550 i / 450 i G00-33またはそれ以前
bizhub 360 i / 300 i G00-33またはそれ以前
bizhub C287 i / C257 i / C227 i G00-19またはそれ以前
bizhub C759 / C659 GC7-X8またはそれ以前
bizhub C658 / C558 / C458 GC7-X8またはそれ以前
bizhub 758 / 658e / 558e / 458e GC7-X8またはそれ以前
bizhub C287 / C227 GC7-X8またはそれ以前
bizhub 287 / 227 GC7-X8またはそれ以前
bizhub 368e / 308e GC7-X8またはそれ以前
bizhub C368 / C308 / C258 GC9-X4またはそれ以前
bizhub 558 / 458 / 368 / 308 GC9-X4またはそれ以前
bizhub C754e / C654e GDQ-M0またはそれ以前
bizhub 754e / 654e GDQ-M0またはそれ以前
bizhub C554e / C454e GDQ-M1またはそれ以前
bizhub C364e / C284e / C224e GDQ-M1またはそれ以前
bizhub 554e / 454e / 364e / 284e / 224e GDQ-M1またはそれ以前
bizhub C754 / C654 / C554 / C454 GR1-M0またはそれ以前
bizhub C364 / C284 / C224 GR1-M0またはそれ以前
bizhub 754 / 654 GR1-M0またはそれ以前
bizhub C4050 i / C3350 i / C4000 i / C3300 i G00-B6またはそれ以前
bizhub C3320 i G00-B6またはそれ以前
bizhub 4750 i / 4050 i G00-22またはそれ以前
bizhub C3851FS / C3851 / C3351 GC9-X4またはそれ以前
bizhub 4752 / 4052 GC9-X4またはそれ以前
bizhub C3850 / C3350 / 3850FS 標準機能のストレージ(HDD)ロックパスワード設定で回避可能
bizhub 4750 / 4050 標準機能のストレージ(HDD)ロックパスワード設定で回避可能
bizhub C3110 標準機能のストレージ(HDD)ロックパスワード設定で回避可能
bizhub C3100P 標準機能のストレージ(HDD)ロックパスワード設定で回避可能
コニカミノルタ株式会社が提供する複合機および印刷システムには、複数の脆弱性が存在し、想定される影響としては下記の可能性がある。
・不適切な認証処理
→外部サーバー認証を有効にしている場合に、管理者権限を持ったユーザーからの特定のSOAPメッセージにより設定されているユーザー認証情報を取得される
・認証処理の欠如
→LDAPサーバーによる外部認証を設定している場合に、特定のSOAPメッセージにより設定されているユーザー認証情報の一部を取得される
・例外状態の不適切な処理
→スキャン送信がネットワークエラーで中断しスキャンジョブがタイムアウトする前にHDDを取り出すことで、残されているスキャン画像データを取得される
・認証処理の欠如
→FTP、SMB、WebDAVなど認証情報の登録が必要なスキャン宛先を複合機のアドレス帳に登録している場合に、特定のSOAPメッセージにより登録されている認証情報を取得される
・保護メカニズムの不適切な実装
→ファームウェア整合性検証処理が迂回され、不正なファームウェアをインストールされる
コニカミノルタでは、対策済みファームウェアの適用は、リモートメンテナンスまたはカスタマーエンジニアの訪問時に順次実施するとのこと。
