独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月11日、複数の京セラドキュメントソリューションズ製プリンタおよび複合機における認証情報の不十分な保護の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Rapid7 Aaron Herndon 氏が報告を行っている。影響を受けるシステムは以下の通り。
・カラー複合機
TASKalfa 8353ci/7353ci
TASKalfa 8052ci
TASKalfa 7054ci/7054ci W/6054ci/6054ci W/5054ci/5054ci W/
4054ci/4054ci W/3554ci/3554ci W/2554ci/2554ci W
TASKalfa 6053ci/5053ci/4053ci/3253ci/3253ci W/2553ci/2553ci W
TASKalfa 6052ci/5052ci/4052ci/3252ci/2552ci
TASKalfa 2470ci/2460ci
TASKalfa 408ci/358ci
TASKalfa 406ci/356ci
TASKalfa 352ci
ECOSYS M6635cidn
ECOSYS M5526cdw
・モノクロ複合機
TASKalfa 9003i/7003i
TASKalfa 8002i/7002i
TASKalfa 7004i/7004i W/6004i/6004i W/5004i/5004i W
TASKalfa 6003i/5003i
TASKalfa 6002i/5002i/4002i
TASKalfa MZ4000i/MZ3200i
TASKalfa 4012i/3212i
TASKalfa 2520i/2510i
ECOSYS M3645idn
ECOSYS M2640idw/M2540dw
・プロダクションプリンター
TASKalfa Pro 15000c
TASKalfa Pro 15000c Type-L
複数の京セラドキュメントソリューションズ製複合機には、認証情報の不十分な保護の脆弱性が存在し、当該製品にネットワーク経由でアクセス可能な第三者によって、ユーザー名やパスワード等のアドレスブック内の機微な情報を閲覧される可能性がある。
JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。なお、ファームウェア適用までの期間は、ファイアウォールなどで保護された環境の中での使用、プライベートIPアドレスで使用などのワークアラウンドの実施を呼びかけている。
![インシデント報告義務化 世界的傾向/ベラルーシ反露ハッカー「鉄道戦争」/リークサイトから消えたデンソー社名 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/37895.jpg)
