エフセキュア、150機種以上のHP製プリンター複合機に影響する脆弱性を発見、注意を喚起

~ サイバー犯罪者が企業への攻撃に悪用可能なセキュリティ脆弱性、パッチはHPが提供 ~

2021年11月30日: 先進的サイバー・セキュリティ・テクノロジーのプロバイダであるF-Secure (本社: フィンランド・ヘルシンキ、CEO: Juhani Hintikka、日本法人: 東京都港区、以下、エフセキュア) は、ヒューレットパッカード社 (以下、HP) の150モデル以上の多機能プリンター (MFP) 製品における脆弱性を発見したことおよびその調査結果を発表しました。攻撃者はこの脆弱性を悪用して、脆弱なデバイスのコントロールを奪い、情報を盗み、さらにネットワークに侵入してより多くの被害を与えることができます。エフセキュアからの情報提供に基づき、HPはこれらの脆弱性を修正するパッチを提供しました。

エフセキュアのセキュリティコンサルタントであるTimo Hirvonen (ティモ・ヒルヴォネン) とAlexander Bolshev (アレクサンダー・ボルシェフ) は、HPのFutureSmartシリーズの多機能プリンターであるMFP M725zに、物理アクセスポートが露出している脆弱性 (CVE-2021-39237) とフォント解析の脆弱性 (CVE-2021-39238) を発見しました。HPが公開しているセキュリティアドバイザリーには、この脆弱性の影響を受ける150種類以上の製品が掲載されています。

これらの脆弱性を最も効果的に悪用する方法は、標的となる企業のユーザーをフィッシングなどで騙して、悪意のあるWebサイトにアクセスさせ、その企業が使用する脆弱なMFPをクロスサイト印刷攻撃と呼ばれる攻撃にさらすことです。ユーザーがこのサイトにアクセスすると、自動的に、悪意を持って作成されたフォントを含むドキュメントを脆弱性を持つMFPでリモート印刷し、攻撃者にMFP上でのコード実行権を与えます。

これらのコード実行権を持つ攻撃者は、MFPを通じて実行される (またはキャッシュされる) あらゆる情報を密かに盗み出すことができます。これには、印刷/スキャン/ファックスされた文書だけでなく、パスワードやログイン情報など、MFPを他のネットワークに接続するための情報も含まれます。攻撃者は、侵害されたMFPを足掛かりとして、その他のデータの窃取や変更、ランサムウェアの拡散など、他の目的のためにさらに企業のネットワーク深くに侵入する可能性もあります。

エフセキュアのリサーチャーたちは、この脆弱性を悪用することは非常に困難であり、低レベルのスキルしか持たない攻撃者では悪用することが難しいと判断していますが、経験豊富で高いスキルを持つ攻撃者であれば、標的型攻撃に用いることができると考えています。

さらに、このフォント解析の脆弱性はワーム化が可能であることが判明しました。つまり、攻撃者は、脆弱性を抱えるMFPを自動的に危険にさらし、同じネットワーク上の他の脆弱なMFPに拡散する自己増殖型のマルウェアを作成することができるのです。

「最近のMFPは、他のワークステーションやエンドポイントと同様に、攻撃者が侵害できる完全な機能を備えたコンピューターである、ということを私たちは忘れがちです。そして、他のエンドポイントと同様に、攻撃者は侵害されたデバイスを利用して、企業のインフラやオペレーションにダメージを与えることができます。経験豊富なサイバー犯罪者であれば、「保護されていないデバイス = 大きなチャンス」と見なします。そのため、MFPの保護が通常のエンドポイントの保護と同様に重要であると認識することのない企業は、今回の調査で報告されたような攻撃にさらされる可能性があるのです。」とHirvonenは説明しています。

MFPを保護するためのアドバイス:

HPはMFPのリーディングカンパニーであり、ハードウェア周辺機器市場の40%を占めていると言われており*1、世界中の多くの企業が今回脆弱性が発見されたモデルのMFPを使用している可能性があります。

HirvonenとBolshevは、本年春に発見した内容をHPに通知し、脆弱性修正のためのサポートを提供しました。現在、HPは脆弱性の影響を受けたモデルのファームウェア・アップデートとセキュリティ・アドバイザリーを公開しています。

この脆弱性を突く攻撃は難易度が高いため、攻撃者の多くにとっては現実的ではありませんが、高度な攻撃の標的となっている企業にとっては、脆弱なMFPを安全に保護することが重要であると、エフセキュアのリサーチャーたちは述べています。

MFPの安全性を確保するうえで、パッチを当てる以外の対策には以下のようなものがあります:
・       MFPへの物理的なアクセスを制限すること
・       MFPをファイアウォール付きの別のVLANに分離すること
・       アンチタンパーステッカーを使用して、デバイスに対する物理的な不正行為を知らせること
・       内部のハードウェアへのアクセスをロック (ケンジントンロックなど) で制御すること
・       セキュリティ設定の不正な変更を防ぐための、メーカーのセッティングやベストプラクティスに従うこと
・       CCTVで監視されている場所にMFPを設置し、ハッキングされたデバイスが侵害された時に物理的に使用されたことを記録すること

Hirvonenは、企業が取るべき対策について、次のように締めくくっています。
「大企業やインフラなど重要な分野の企業など、高度な技術と豊富なリソースを持つ攻撃者の標的となり得る企業は、このような事態を深刻に受け止める必要があります。直ちに慌てる必要はありませんが、このような攻撃に備えるために、自分たちがどのような脅威にさらされているかを改めて評価する必要があります。今回の攻撃は高度なものですが、ネットワークのセグメンテーション、パッチ管理、セキュリティ・ハードニングなどの基本的な対策で軽減することが可能なものです。」

本リサーチに関する詳細は以下のページにてご覧いただけます。
https://blog.f-secure.com/ja/printing-shellz/ (日本語)
https://labs.f-secure.com/publications/printing-shellz (英語)

*1 https://www.idc.com/promo/hardcopy-peripherals

エフセキュアについて

エフセキュアほどサイバーセキュリティを熟知している企業は市場に存在しません。1988年の設立以来、エフセキュアは30年以上にわたりサイバーセキュリティの技術革新を牽引し、数千社の企業と数百万人のユーザーを守ってきました。エンドポイントの保護と脅威の検出・対応において他企業を圧倒する実績を持つエフセキュアは、巧妙なサイバー攻撃やデータ侵害からランサムウェアの感染の蔓延までを含む、あらゆる脅威から企業と個人ユーザーを保護します。エフセキュアの先進テクノロジーは、機械学習の力と世界的に有名なセキュリティラボのエキスパートの持つ専門知識を組み合わせた、『Live Security』と呼ばれる独特のアプローチに基づくものです。ヨーロッパにおいて、エフセキュアは他のどのセキュリティ関連企業よりも多くのサイバー犯罪捜査に携わっています。エフセキュア製品は全世界200社以上のブロードバンド/モバイル事業者と数千社にのぼるセールスパートナーを通じて販売されています。


エフセキュアは本社をフィンランド・ヘルシンキに、日本法人であるエフセキュア株式会社を東京都港区に置いています。また、NASDAQ ヘルシンキに上場しています。Twitter @FSECUREBLOG でも情報の配信をおこなっています。

f-secure.coom | twitter.com/fsecure | linkedin.com/f-secure

F-Secure media relations

秦 和哉 (Kazuya HATA)

PR Manager, Japan

+81 3 4578 7745
japan-pr@f-secure.com

プレス登録

F-Secureからのリリース配信をご希望の方は、こちらからご登録ください。

We process the personal data you share with us in accordance with our Corporate Business Privacy Policy.