こんにちは。リコンです。
2016年1月に「学校のコピー機の情報が丸見え」になっていると、大手メディアで派手に報道されたことを、覚えていらっしゃいますか?
見出しだけでニュースを流し読みをすると、まるでコピー機そのものに問題があるように捉えてしまいますね。
今回は、報道内容を確認しながら、コピー機のセキュリティについて、考えていきたいと思います。
登場人物紹介
情報が丸見え事案の問題点は2つ
サイバー攻撃による被害のニュースが後を絶たないですね~。
そうだね。今は大企業だけでなく、地方の中小企業も狙われるようになっているからね。
被害件数は年々増える一方だね。
イシダ、被害ってどんな内容なの…?
サイバーって聞くと…なんか滾るね…
(滾る…?)
そうだね。つい最近だとランサムウェアが有名だけど、分かりやすいものだと、インターネットバンキングを利用した不正送金被害とかかな。
ちょっと古いデータだけど、2013年の法人の不正送金の被害額が9,800万円だったのに、その1年後の2014年は10億8,800万円と約11倍にまで被害額が急増してしまっているんだよ。(警視庁データ)
お財布に収まらない額…
(サイバーネットキング…今、描いてるキャラ名に使えるかも…)
そういえばサイバー攻撃ではないですけど、2016年にコピー機の情報漏えい事案がありましたね。
確か…「複合機などデータ丸見え」といったニュースでしたっけ?
まっ丸見え…/////
あったねぇ!当時はメディアが大騒ぎしていたね。急遽リリースを出したコピー機メーカーもあったよ。
あの事案は、IPアドレスを打ち込むだけで、大学のコピー機(複合機)にアクセスできちゃったやつだよね。
そうです。コピー機(複合機)に保存されている色々なデータが、インターネット上で閲覧できてしまったようですね。
ファクス番号、メールアドレス、保存文書や画像、印刷文書の表題(ファイル名)……。記者のパソコンにIPアドレスを打ち込むと、宮崎大に設置された複合機やプリンターの内部データが次々と画面に表示された。大学の担当者にこの結果を伝えると、「えらいことになった」と表情をこわばらせた。
この件は、ニュースを流し読みしただけでも2つも問題点があることが分かるね。
遊戯王カードをコピーしちゃいけないってこと…?
同人誌は、会社で印刷しちゃダメってこと…?
う、うん…今回の件とは関係ないけど、それはやっちゃダメだね。
問題点の1つ目は「IPアドレスを打ち込むだけで複合機のデータにアクセスできること」、2つ目が「複合機に文章・画像データが保存されていること」だね。
では、石田さんに順を追って説明していただきましょう。
コピー機は、プライベートIPアドレスで設定しよう
イシダ、なんでインターネットで、コピー機の情報が見えちゃうの…?
(前から呼び捨てだったかなぁ…?)一つ目の問題点のことだね。
これは、「グローバルIPアドレス」を使って、コピー機と接続設定を行ってしまっていることが考えられるね。
グロゥーバァァァァァァルIPアドレス…!!ってなに…?
必殺技っぽく言わないで!
「グローバルIPアドレス」は、普段みんなが、インターネットを閲覧する時に使っているアドレスのことだよ。
なるほど!そういうことですか。
つまり、「グローバルIPアドレス」は、ウェブサイトのアドレスと変わらないから、IPアドレスが分かれば誰でもインターネットでコピー機にアクセスが可能ってことですね。
その通り!
その「グローバルIPアドレス」っていうのをコピー機に使っちゃいけないことは分かったけど、どうすればいいわけ…?
どうすればいいかというと、「プライベートIPアドレス」で接続設定することだね。
その設定を行えば、社内のネットワークに繋がっているパソコンや機器からしかコピー機にアクセスできないんだ。
大学の情報漏えいの事案は、まさに「グローバルIPアドレス」でコピー機の接続設定を行っていたことが大きな原因ですね。
裏グーグルで覗けるオフィスの情報
ところで、みんなは「SHODAN(ショダン)」という検索エンジン知ってる?通称「裏グーグル」とも言われているよ。
知ってます!
インターネットに繋がっている機器を簡単に、しかも地域を絞って検索できるんですよね。
うん、そう。
例えば、社内のセキュリティ対策として設置したウェブカメラの映像を、「SHODAN(ショダン)」経由で勝手に見るという…。ま、これは本来の使い方ではないんだけどね。
怖い…!!クビ宣告されそう…
闇が深い…
君たち、いったい業務中に何してるの…?
「本来の使い方ではない」とは?
「SHODAN(ショダン)」を使うと、インターネットに接続されている機器を検索できるよね。
その利点を活かして、自社の情報が閲覧できてしまっていないか、セキュリティチェックに使えるってこと。
なるほど。セキュリティの弱い機器や、機器の認証設定に不備がないか確認するわけですね。
今すぐチェックしよ…!
危険な芽は早めに摘むべき…!
情報漏えい事故は、人為的なミスが多いんだよ。
使い方を完全に理解できていなかったために、意図せずデータを公開してしまっていることが多い。
Iotが進んで、今は家電製品もインターネットに接続できるようになっているからね。
まだまだ情報漏えい事故は増えると思うよ。
コピー機を販売している務めとして、私たちは、セキュリティ対策の啓蒙を行わないといけないですね。
(うちのカメラは繋がってないみたい…)
(ほっ…)
コニンとミノンは、なにをこそこそやってるの?
次回は、コピー機の情報漏えい事案のもう一つの問題点に言及し、コピー機が備えているスゴイセキュリティ機能について紹介します。
■コピー機の情報丸見え事案は、コピー機の欠陥が原因ではない
コピー機を利用の仕方や設定に不備があったことが原因。ただし、利用者の責任にするのではなく、メーカー、販売店は、コピー機のセキュリティ対策の継続的な啓蒙が必要と考えます。
■コピー機の接続は、プライベートIPアドレスで設定する
コピー機は、社内ネットワーク(ローカルエリアネットワーク)で使われる「プライベートIPアドレス」で接続設定を行いましょう。インターネット経由でコピー機へアクセスが不可能になります。
事情により「グローバルIPアドレス」で接続設定をしなければならない場合は、ファイアウォールなどのセキュリティ機器を用いることで、外部からの不正アクセスのリスクを軽減することができます。
■「SHODAN(ショダン)」を使って、社内の機器をチェック
「SHODAN(ショダン)」を使うと、インターネットに接続されている機器をチェックできます。意図しない情報が公開されてしまっている場合はすぐに管理者に報告し、機器の設定を改めましょう。
情報セキュリティの啓蒙を行っているIPAが、「増加するインターネット接続機器の不適切な情報公開とその対策(http://www.ipa.go.jp/about/technicalwatch/20140227.html)」として、「SHODAN(ショダン)」を活用した対応策を無料で公開しているので、ぜひ確認してください。
東京大医科学研究所では、少なくとも2台の複合機で読み込んだ情報がネット上に流出。付属病院の看護師が回答した血友病の看護に関するアンケートと、研修の受講証12人分などが閲覧できた可能性がある。同研究所は閲覧できないよう複合機の設定を変更した。
⇒増加するインターネット接続機器の不適切な情報公開とその対策-IPA-
<PR>コピー機のセキュリティ対策はお任せください
エーワンは、高いセキュリティ機能を備えたシャープの中古コピー機と、その機能を活用したセキュリティ設定サービスをご用意しています。サイバー攻撃をはじめ人為的なミスやトラブルで発生する情報漏えいの対策を講じることで、安心してコピー機を利用できます。