米研究者がHPプリンタの脆弱性を実証――乗っ取られ、制御される恐れも

研究チームはプリンタを乗っ取って命令を出し、フューザーを過熱させて用紙を焦がすコンセプト実証デモを実施した。

» 2011年11月30日 07時31分 公開
[鈴木聖子,ITmedia]

 米コロンビア大学の研究者がHewlett−Packard(HP)のプリンタの脆弱性を発見し、この脆弱性を突いてプリンタが乗っ取られる恐れがあると指摘している。米セキュリティ機関のSANS Internet Storm CenterがMSNBCブログの11月29日の報道を引用して伝えた。

 それによると、脆弱性は2009年以前に製造されたHPのレーザジェットプリンタがファームウェアのアップデートをインストールする際に、デジタル署名をチェックしない問題に起因する。この問題を悪用すれば、細工を施したファームウェアをリモートからインストールさせることができてしまう恐れがあるとされる。なお、インクジェットプリンタは影響を受けないという。

 研究チームはコンセプト実証のため、プリンタを乗っ取って命令を出し、フューザーを過熱させて用紙を焦がすデモを実施した。このデモでは安全機能が働いて出火は食い止めたが、別のデモではマルウェアに感染させたプリンタから確定申告書を攻撃者のコンピュータに送信させたり、書類から社会保障番号などの重要情報をスキャンしてTwitterに公開させるなどの攻撃も実証されたとMSNBCは伝えている。

 HPは同日発表した声明で、一部のレーザージェットプリンタに脆弱性が存在する可能性があることを確認した。この脆弱性は、一部のプリンタをファイアウォールなしでインターネットに接続した場合に発生するほか、社内ネットワークでもネットワーク上の信頼されている人物がプリンタのファームウェアを改ざんできてしまう恐れがあるとしている。

 HPはこの脆弱性に対処するためファームウェアアップグレードの開発を進めており、影響を受ける顧客やパートナーには連絡を取ると表明した。一方で、この問題に関する報道については「センセーショナルで不正確」と批判。「顧客から不正アクセスについての報告はなく、ファームウェアの改ざんによってプリンタが出火する恐れがあるとの憶測は誤り」だと述べている。

関連キーワード

プリンタ | 脆弱性 | HP


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ