Canon warns of Wi-Fi security risks when discarding inkjet printers
2023/07/31 BleepingComputer — Canon の SOHO インクジェット・プリンターの初期化時に、デバイスのメモリに保存された Wi-Fi 接続設定が消去されず、データへの不正アクセスを許す脆弱性が存在すると警告されている。この脆弱性の悪用が、修理技術者/一時的なユーザー/デバイスの将来の購入者により行われると、プリンタ・メモリが抜き取られて Wi-FI ネットワークの接続情報を取得され、影響を受けるユーザーにリスクをもたらされる可能性がある。
Canon 製プリンターに保存される主な情報は、モデルや構成により異なるが、一般的には、ネットワーク SSID/パスワード/ネットワークタイプ/IP アドレス/MAC アドレス/ネットワーク・プロファイルなどになる。
この機密性の高い Wi-Fi 接続情報が暴露されると、プリンターが接続されている Canon 製プリンターユーザーのネットワークに、悪意の第三者が不正アクセスする可能性が生じる。具体的に言うと、共有リソースへのアクセス/データの窃取や、追加の脆弱性を活用した他のプライバシー侵害攻撃などが可能になる。
この脆弱性の影響を受ける Canon 製プリンターは、E/G/GX/iB/iP/MB/MG/MX/PRO/TR/TS/XK シリーズの 196機種のインクジェットなどの広範に及ぶ。そのため Canon は、この問題が影響を及ぼすプリンターモデルを、ユーザーが確認するための文書を公開している。
同社は、影響を受けるプリンターの所有者に対して、デバイスを修理する場合や、他者に譲渡/販売する場合などに、事前に Wi-FI 設定を消去することを推奨している。Canon のセキュリティ・アドバイザリでは、Wi-FI 設定の消去方法について、以下のように説明している:
- 全ての設定をリセットする (Reset settings -> Reset all)
- 無線 LAN を有効にする
- 全ての設定をもう一度リセットする
設定メニューに「全てをリセット」機能がない機種については、代わりに以下の手順を実行することが推奨されている:
- LAN 設定をリセットする
- 無線 LAN を有効にする
- LAN 設定をもう一度リセットする
これらの手順が、使用しているモデルに当てはまらない場合には、デバイスに付属の取扱説明書を参照することを Canon は推奨している。
最後に、以下の方法も、セキュリティ対策として有効だ。
- ネットワーク上のプリンターを貴重な資産から隔離し、ネットワークが侵害されても攻撃者が重要なデバイスにアクセスできないようにする。
- 使用しているプリンターで利用可能なファームウェアアップ・デートを適用する。
- クラウド・プリンティングやリモート管理インターフェースなどのサービスが不要な場合はオフにする。
Canon インクジェット・プリンターの問題ですが、これでは、何のための初期化なのかが分かりませんね。Canon の脆弱性に関しては、2021/11/03 に「ハッキング・コンテスト Pwn2Own:プリンタ部門で Canon/HP が陥落」という記事がありました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.