Print Security Warning: Canon Printers Exposed to Data Theft
2025/05/23 SecurityOnline — Canon が発表したのは、同社のプロダクション/オフィス/小規模オフィス向けプリンターに影響を及ぼす、深刻度の高い2つの脆弱性 CVE-2025-3078/CVE-2025-3079 (CVSS:8.7) に関するセキュリティ・アドバイザリである。これらの脆弱性を悪用する管理者権限を持つ攻撃者は、認証情報などの機密設定データを抽出する可能性を手にする。
Canon のアドバイザリには、「これらの脆弱性について、パスバック欠陥であると特定している。このパスバック脆弱性とは、電子メール (SMTP) やディレクトリ・サービス (LDAP) で使用される認証情報などの機密データが、デバイスのコンフィグ・インターフェイス内から読み取れてしまうという欠陥である」と記されている。
この脆弱性が悪用され、上記の機密データが漏洩すると、広範なネットワーク攻撃/ラテラル・ムーブメント/データ窃取のシナリオが生じる可能性がある。
このアドバイザリでは、以下の2つの脆弱性について詳述されている:
- CVE-2025-3078:Canon のプロダクション・プリンターおよびオフィス向け複合機に影響する
- CVE-2025-3079:オフィス/小規模オフィス向けの、複合機およびレーザー・プリンターに影響する
これらの脆弱性の影響を受ける製品は、以下の通りである:
- imageRUNNER ADVANCE Series
- imageRUNNER Series
- imagePRESS V Series
- imagePRESS Series
- imageCLASS Series
- i-sensys Series
- Satera Series
現時点において Canon は、これらの脆弱性を修正するファームウェア・パッチをリリースしていない。その一方で、脆弱なデバイスを悪用から保護するための緊急対策として、以下の回避策を提示している:
- デバイスをパブリック・インターネットに公開しない。その代わりに、プライベート IP アドレスを使用し、ファイアウォール/ルーターの背後の安全な場所に、デバイスを配置する。
- デフォルト・パスワードを変更し、管理者およびユーザーに対して、強力な認証情報を設定する。
- 多要素認証 (MFA) を有効化する。
- デバイスの配置においては、物理的なセキュリティを考慮し、ローカル環境での悪用リスクを軽減する。
- 管理者による、すべての設定においては、複雑で重複のないパスワードを使用する。
Canon がユーザーに推奨するのは、製品強化ガイド (https://psirt.canon/hardening) を参照して、ネットワーク・セキュリティ対策における詳細な情報を取得することだ。
Canon 製プリンタの脆弱性 CVE-2025-3078/CVE-2025-3079 に関するセキュリティ・アドバイザリが公開されましたが、現時点ではパッチ未適用とのことです。パッチが公開されるまでの対応については、文中の回避策をご参照ください。よろしければ、Canon で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.